注意事項

• 僅IPv4高防IP支持修改HTTPS證書和TLS安全策略，IPv6高防IP不支持修改。

  • HTTPS證書：僅支持修改為國際標準證書，不支持修改為國密標準證書。

  • TLS安全策略：除了DDoS高防預設(shè)的加密套件選項外，還支持自定義加密套件。但僅增強套餐的高防IP支持自定義加密套件，標準套餐的高防IP不支持。

• 關(guān)于各類型的DDoS高防實例，支持的TLS協(xié)議版本請參見下表。

  TLS協(xié)議版本	DDoS高防（中國內(nèi)地）		DDoS高防（非中國內(nèi)地）
  	標準套餐	增強套餐	標準套餐	增強套餐
  默認TLS協(xié)議版本	TLS 1.0及以上	TLS 1.0及以上	TLS 1.1及以上	TLS 1.1及以上
  支持調(diào)整為哪些TLS協(xié)議版本	TLS 1.2及以上	TLS 1.1及以上 TLS 1.2及以上 TLS 1.3	TLS 1.0及以上 TLS 1.2及以上	TLS 1.0及以上 TLS 1.2及以上 TLS 1.3

操作步驟

1. 登錄DDoS高防控制臺。

2. 在頂部菜單欄左上角處，選擇地域。

   • DDoS高防（中國內(nèi)地）：選擇中國內(nèi)地地域。

   • DDoS高防（非中國內(nèi)地）：選擇非中國內(nèi)地地域。

3. 在左側(cè)導航欄，選擇接入管理 > 域名接入。

4. 在頁面右上角單擊高防IP默認SSL/TLS設(shè)置，定位到目標高防實例IP地址，單擊操作列的修改，修改高防IP的HTTPS證書以及TLS安全策略。

   • HTTPS證書

     • 手動上傳：填寫證書名稱，并將證書文件和私鑰文件中的文本內(nèi)容分別復制粘貼到證書文件和私鑰文件框中。

       說明

       • 對于PEM、CER、CRT格式的證書，您可以使用文本編輯器直接打開證書文件，復制其中的文本內(nèi)容。對于其他格式（例如，PFX、P7B等）的證書，您需要將證書文件轉(zhuǎn)換成PEM格式后，才能用文本編輯器打開并復制其中的文本內(nèi)容。關(guān)于證書格式的轉(zhuǎn)換方式，請參見證書格式轉(zhuǎn)換或HTTPS證書轉(zhuǎn)換成PEM格式。

       • 如果該HTTPS證書有多個證書文件（例如，證書鏈），您需要將證書鏈中的文本內(nèi)容拼接合并后粘貼至證書文件中。

     • 選擇已有證書（推薦）：如果您已將證書上傳到數(shù)字證書管理服務，可以直接選擇證書。如何上傳證書，請參見上傳和共享SSL證書。

   • TLS安全策略

     重要

     僅當上傳了HTTPS證書后，才允許修改TLS安全策略。建議TLS安全策略配置，與您為域名配置的TLS安全策略一致。為域名配置的TLS安全策略，請參見自定義TLS安全策略。

     • TLS協(xié)議版本：根據(jù)您的業(yè)務需要選擇。

     • https加密套件：

       • 全部加密套件，安全性較低，兼容性較高（默認）

         該選項包含以下加密套件：

         • ECDHE-ECDSA-AES128-GCM-SHA256

         • ECDHE-ECDSA-AES256-GCM-SHA384

         • ECDHE-ECDSA-AES128-SHA256

         • ECDHE-ECDSA-AES256-SHA384

         • ECDHE-RSA-AES128-GCM-SHA256

         • ECDHE-RSA-AES256-GCM-SHA384

         • ECDHE-RSA-AES128-SHA256

         • ECDHE-RSA-AES256-SHA384

         • AES128-GCM-SHA256

         • AES256-GCM-SHA384

         • AES128-SHA256

         • AES256-SHA256

         • ECDHE-ECDSA-AES128-SHA

         • ECDHE-ECDSA-AES256-SHA

         • ECDHE-RSA-AES128-SHA

         • ECDHE-RSA-AES256-SHA

         • AES128-SHA

         • AES256-SHA

         • DES-CBC3-SHA

       • 增強加密套件，安全性很高，兼容性很低

         該選項包含以下加密套件：

         • ECDHE-ECDSA-AES256-GCM-SHA384

         • ECDHE-ECDSA-AES128-SHA256

         • ECDHE-RSA-AES128-GCM-SHA256

         • ECDHE-RSA-AES256-GCM-SHA384

       • 強加密套件，安全性較高，兼容性較低

         該選項包含以下加密套件：

         • ECDHE-ECDSA-AES128-GCM-SHA256

         • ECDHE-ECDSA-AES256-GCM-SHA384

         • ECDHE-ECDSA-AES128-SHA256

         • ECDHE-ECDSA-AES256-SHA384

         • ECDHE-RSA-AES128-GCM-SHA256

         • ECDHE-RSA-AES256-GCM-SHA384

         • ECDHE-RSA-AES128-SHA256

         • ECDHE-RSA-AES256-SHA384

         • ECDHE-ECDSA-AES128-SHA

         • ECDHE-ECDSA-AES256-SHA

       • 自定義加密套件

         選擇該選項后，您需要從全部加密套件中選擇一個或多個加密套件。

         說明

         僅增強套餐的DDoS高防實例支持自定義加密套件，標準套餐的DDoS高防實例不支持。

   修改完成后，證書配置狀態(tài)會顯示為自定義證書。您可以單擊恢復默認將證書以及TLS安全策略恢復到默認配置。