功能優勢

傳輸過程中對用戶的關鍵信息進行加密，防止類似Session ID或者Cookie內容被攻擊者捕獲造成的敏感信息泄露等安全隱患。 傳輸過程中對數據進行完整性校驗，防止DNS或內容遭第三方劫持、篡改等中間人攻擊（MITM）隱患，深入了解如何利用HTTPS技術有效防止流量劫持。 阿里云CDN提供了HTTPS安全加速方案。您只需要開啟HTTPS后上傳證書和私鑰，并支持對證書進行查看、停用、啟用、編輯操作。

工作原理

在阿里云視圖計算控制臺開啟的HTTPS，將實現用戶和阿里云CDN節點之間請求的HTTPS加密。而CDN節點返回源站獲取資源的請求仍按您源站配置的方式進行。建議您源站也配置并開啟HTTPS，實現全鏈路的HTTPS加密。 以下是HTTPS加密流程：

1. 客戶端發起HTTPS請求。

2. 服務端生成公鑰和私鑰（可以自己制作，也可以向專業組織申請）。

3. 服務端把相應的公鑰證書傳送給客戶端。

4. 客戶端解析證書的正確性。

   • 如果證書正確，則會生成一個隨機數（密鑰），并用公鑰對該隨機數進行加密，傳輸給服務端。

   • 如果證書不正確，則SSL握手失敗。

     說明

     正確性包括：證書未過期、發行服務器證書的CA可靠、發行者證書的公鑰能夠正確解開服務器證書的發行者的數字簽名、服務器證書上的域名和服務器的實際域名相匹配。

5. 服務端用之前的私鑰進行解密，得到隨機數（密鑰）。

6. 服務端用密鑰對傳輸的數據進行加密。

7. 客戶端用密鑰對服務端的加密數據進行解密，拿到相應的數據。

注意事項

配置相關

支持HTTPS安全加速的啟用和停用：

• 您可以修改證書，系統默認兼容用戶的HTTP和HTTPS請求。您也可以自定義對原請求方式設置強制跳轉。

• 停用后，系統不再支持HTTPS請求且將不再保留證書或私鑰信息。再次開啟證書，需要重新上傳證書或私鑰。

您可以查看證書，但由于私鑰信息敏感，不支持私鑰查看。請妥善保管證書相關信息。您可以更新證書，但請謹慎操作。更新HTTPS證書后1分鐘內全網生效。

計費相關

HTTPS安全加速屬于增值服務，開啟后將產生HTTPS請求數計費，當前計費標準詳見 HTTPS計費詳情。

證書相關

• 開啟HTTPS安全加速功能的加速域名，您需要上傳證書，包含證書和私鑰，均為 PEM 格式。

  說明

  由于視圖計算使用的底層CDN采用的Tengine服務基于Nginx，因此只支持Nginx能讀取的證書，即PEM格式。具體方法，請看參考證書格式說明及轉化方法。

• 只支持攜帶SNI信息的SSL/TLS握手。

• 您上傳的證書需要和私鑰匹配，否則會校驗出錯。

• 不支持帶密碼的私鑰。

操作步驟

1. 購買證書。您需要具備匹配加速域名的證書才能開啟HTTPS安全加速。您可以在 數字證書管理服務控制臺快速申請免費的證書或購買高級證書。

2. 登錄視圖計算控制臺，進入 空間管理，選擇空間，查看域名，選擇 播放域名，點擊 域名配置。

3. 選擇 HTTPS設置 > HTTPS證書，單擊修改配置。

4. 在HTTPS設置對話框中，開啟HTTPS證書。

5. 選擇證書。您可以選擇的證書類型包括：云盾、自定義和個人測試證書（免費版）。目前僅支持 PEM 的證書格式。請參考證書格式說明。

   • 您可以選擇云盾。若證書列表中無當前適配的證書，您可以選擇自定義上傳。您需要在設置證書名稱后，上傳證書內容和私鑰，該證書將會在阿里云云盾的證書服務中保存。您可以在我的證書里查看。

   • 您也可以選擇個人測試證書（免費版），即阿里云的Digicert免費型DV版SSL證書。CDN的個人測試證書（免費版）只適用于CDN的HTTP安全加速業務，因此您無法在阿里云云盾控制臺管理該證書，也無法查看到公鑰和私鑰。設置個人測試證書（免費版）后，大約需要等候10分鐘生效。

6. 驗證證書是否生效。證書生效后（約1分鐘），使用HTTPS方式訪問資源。如果瀏覽器中出現綠色HTTPS標識，表明當前與網站建立的是私密連接，HTTPS安全加速生效。

   說明

   關于更換證書說明：

   • 如果您想更換為個人測試證書（免費版）或阿里云云盾證書，直接在HTTPS設置頁選擇想替換的目標證書類型（即云盾或個人測試證書（免費版））即可。

   • 如果您想更換為自定義證書，在HTTPS設置頁，選擇自定義，然后將新證書的名稱和內容填入對應框內，提交信息即可。