邊緣安全加速 ESA支持HTTPS安全加速服務,您可以將SSL證書部署至邊緣安全加速 ESA平臺并開啟SSL/TLS功能,實現客戶端與邊緣安全加速 ESA節(jié)點間請求的加密傳輸。邊緣安全加速 ESA為您提供免費證書和自定義證書兩種證書配置方式。
證書類型
如果您的業(yè)務為中小企業(yè)站點或個人博客,并且域名為單一精確域名,建議申請免費證書。
如果您需要使用可信度更高的證書頒發(fā)機構,或者當前已經擁有域名證書,建議上傳自定義證書。
證書類型 | 免費證書 | 自定義證書 |
簽發(fā)機構 | Let's Encrypt | 任意簽發(fā)機構 |
有效期 | 三個月 | 以證書申請時為準 |
證書類型 | DV | DV、OV、EV |
證書算法 | RSA | RSA、ECC |
域名類型 | 精確域名、泛域名 | 單一精確域名、泛域名 |
域名控制驗證 | 自動 | 手動 |
證書續(xù)簽 | 自動 | 手動 |
同一個站點下支持同時配置免費證書和自定義證書,所有證書將構成證書池,當節(jié)點收到客戶端請求時,將從證書池的多張證書中自動選擇最優(yōu)證書返回給客戶端。詳細情況,請參見證書選擇優(yōu)先級。
不同套餐支持的證書數量不同,具體如下表所示。
證書類型
基礎版
標準版
高級版
企業(yè)版
免費證書
10張
30張
50張
100張
自定義證書
5張
10張
15張
20張
申請免費證書
免費證書功能為您提供了一種便捷的證書頒發(fā)和管理方式,輸入域名即可自動完成證書申請、域名控制驗證、續(xù)簽及部署。
證書申請過程中邊緣安全加速 ESA將自動完成域名控制驗證,無需您手動確認,詳情請參見免費證書自動域名控制驗證。
邊緣安全加速 ESA將在免費證書過期前的15天對免費證書進行自動續(xù)簽,如果未成功續(xù)簽,我們將通過短信和郵件的方式通知您,此時需要您上傳自定義證書,從而避免業(yè)務受損。
登錄ESA控制臺。
在左側導航欄,單擊站點管理。
在站點管理頁面,單擊目標站點名稱,或對應站點操作列的詳情。
在左側導航欄,選擇。
在證書管理區(qū)域,單擊申請免費證書,在申請免費證書欄,選擇單域名證書或者泛域名證書。
說明每張證書最多可以輸入50個域名,輸入域名支持單域名和泛域名,且必須和站點匹配。
單擊確定,等待免費證書申請完成即可。證書的申請狀態(tài)可以在證書管理列表中查看。
上傳自定義證書
您可以在阿里云數字證書管理(云盾)或第三方服務商申請證書后,將證書部署至邊緣安全加速 ESA。
登錄ESA控制臺。
在左側導航欄,單擊站點管理。
在站點管理頁面,單擊目標站點名稱,或對應站點操作列的詳情。
在左側導航欄,選擇。
在證書管理區(qū)域,單擊上傳自定義證書。
如果您已在阿里云數字證書管理服務中購買了證書,請選擇證書來源為云盾證書,并在證書名稱中選擇已購買的證書。
說明如果無法選擇您購買的證書,請檢查已購買證書綁定的域名和加速域名是否相同。
如果您使用的是第三方服務商簽發(fā)的證書,請選擇證書來源為自定義證書,您需要在設置完證書名稱后,上傳證書(公鑰)和私鑰,該證書將在阿里云數字證書管理服務中保存。您可以在SSL證書管理中查看。
參數
說明
證書名稱
為要上傳的證書設置一個名稱。
支持使用英文字母、英文句號、數字、下劃線(_)和短劃線(-)。
說明證書名稱不能與已有證書名稱重復。已有證書可以在SSL證書管理中查看。
如果系統(tǒng)提示證書重復,請修改證書名稱后再重新上傳。
證書(公鑰)
填寫證書文件內容的PEM編碼。
您可以使用文本編輯工具打開PEM格式的證書文件,復制其中的內容并粘貼到該文本框。
私鑰
填寫證書私鑰內容的PEM編碼。
您可以使用文本編輯工具打開PEM格式的證書私鑰文件,復制其中的內容并粘貼到該文本框。
說明如果您得到的是以“-----BEGIN PRIVATE KEY-----”開頭,以“-----END PRIVATE KEY-----”結尾的私鑰,您需要使用OpenSSL工具執(zhí)行以下命令進行轉換,然后將
new_server_key.pem的內容粘貼到該文本框。openssl rsa -in old_server_key.pem -out new_server_key.pem
單擊確定,完成證書上傳。
開啟SSL/TLS功能
完成證書配置后,開啟SSL/TLS功能將允許客戶端使用HTTPS協(xié)議訪問節(jié)點。
登錄ESA控制臺。
在左側導航欄,單擊站點管理。
在站點管理頁面,單擊目標站點名稱,或對應站點操作列的詳情。
在左側導航欄,選擇。
打開開啟SSL/TLS開關。
驗證HTTPS配置是否生效
完成證書配置并開啟SSL/TLS后,您可以使用瀏覽器以HTTPS方式訪問資源,如果瀏覽器中URL旁邊出現鎖的HTTPS標識,表示HTTPS安全加速已生效。
更新自定義證書
由于邊緣安全加速 ESA無法對您的自定義證書進行續(xù)簽,請您在證書到期前更新證書或配置新的自定義證書,從而避免業(yè)務因證書到期受到影響。我們將會在自定義證書到期前30天發(fā)送短信、郵件提醒您進行證書更新。
更新已有證書
在中選擇要更新的證書,單擊操作列的修改,更新證書內容并單擊確定,即可完成證書更新。
配置新的證書
選擇。
參考上傳自定義證書上傳新的證書。
選擇即將過期的證書,單擊操作列的刪除,根據界面提示,單擊確定即可刪除證書。
免費證書自動域名控制驗證
域名控制驗證是指證書頒發(fā)機構(CA)為域名頒發(fā)證書之前,申請人必須證明他們對該域名具有控制權。域名控制驗證分為DNS和HTTP兩種方式。
對于NS接入的站點,邊緣安全加速 ESA使用DNS方式進行域名控制驗證,當您為站點申請免費證書后,邊緣安全加速 ESA將自動為站點添加一條TXT類型的DNS記錄用于域名控制驗證。
對于CNAME接入的站點,邊緣安全加速 ESA使用HTTP方式進行域名控制驗證,當您為站點申請免費證書后,CA進行域名控制驗證的HTTP請求將直接由邊緣安全加速 ESA節(jié)點返回。
證書選擇優(yōu)先級
同一個站點下支持同時配置免費證書和自定義證書,所有證書將構成證書池,當節(jié)點收到客戶端請求時,將從證書池的多張證書中自動選擇最優(yōu)證書返回給客戶端。證書選擇優(yōu)先級為:
優(yōu)先選擇可用狀態(tài)的證書返回給客戶端。例如:優(yōu)先返回在有效期內的、和SNI匹配的證書。
優(yōu)先選擇和客戶端加密算法匹配和的證書返回給客戶端。例如:當客戶端使用國密算法時返回國密證書,當客戶端同時支持RSA和ECC時優(yōu)先返回ECC證書。
單域名證書優(yōu)先級高于泛域名證書。
配置時間較晚的證書優(yōu)先級高于配置時間較早的證書。