修改DDoS高防IP的HTTPS證書及TLS安全策略
默認情況下DDoS高防IP會向客戶端返回內(nèi)置的默認HTTPS證書,當您需要更高的業(yè)務安全性時,支持您為DDoS高防上傳自定義HTTPS證書,并修改TLS安全策略。本文介紹如何為DDoS高防IP上傳自定義HTTPS證書并修改TLS安全策略。
注意事項
僅IPv4高防IP支持修改HTTPS證書和TLS安全策略,IPv6高防IP不支持修改。
HTTPS證書:僅支持修改為國際標準證書,不支持修改為國密標準證書。
TLS安全策略:除了DDoS高防預設(shè)的加密套件選項外,還支持自定義加密套件。但僅增強套餐的高防IP支持自定義加密套件,標準套餐的高防IP不支持。
關(guān)于各類型的DDoS高防實例,支持的TLS協(xié)議版本請參見下表。
TLS協(xié)議版本
DDoS高防(中國內(nèi)地)
DDoS高防(非中國內(nèi)地)
標準套餐
增強套餐
標準套餐
增強套餐
默認TLS協(xié)議版本
TLS 1.0及以上
TLS 1.0及以上
TLS 1.1及以上
TLS 1.1及以上
支持調(diào)整為哪些TLS協(xié)議版本
TLS 1.2及以上
TLS 1.1及以上
TLS 1.2及以上
TLS 1.3
TLS 1.0及以上
TLS 1.2及以上
TLS 1.0及以上
TLS 1.2及以上
TLS 1.3
前提條件
已將網(wǎng)站業(yè)務接入DDoS高防。具體操作,請參見添加網(wǎng)站配置。
操作步驟
登錄DDoS高防控制臺。
在頂部菜單欄左上角處,選擇地域。
DDoS高防(中國內(nèi)地):選擇中國內(nèi)地地域。
DDoS高防(非中國內(nèi)地):選擇非中國內(nèi)地地域。
在左側(cè)導航欄,選擇
。在頁面右上角單擊高防IP默認SSL/TLS設(shè)置,定位到目標高防實例IP地址,單擊操作列的修改,修改高防IP的HTTPS證書以及TLS安全策略。
HTTPS證書
手動上傳:填寫證書名稱,并將證書文件和私鑰文件中的文本內(nèi)容分別復制粘貼到證書文件和私鑰文件框中。
說明對于PEM、CER、CRT格式的證書,您可以使用文本編輯器直接打開證書文件,復制其中的文本內(nèi)容。對于其他格式(例如,PFX、P7B等)的證書,您需要將證書文件轉(zhuǎn)換成PEM格式后,才能用文本編輯器打開并復制其中的文本內(nèi)容。關(guān)于證書格式的轉(zhuǎn)換方式,請參見證書格式轉(zhuǎn)換或HTTPS證書轉(zhuǎn)換成PEM格式。
如果該HTTPS證書有多個證書文件(例如,證書鏈),您需要將證書鏈中的文本內(nèi)容拼接合并后粘貼至證書文件中。
選擇已有證書(推薦):如果您已將證書上傳到數(shù)字證書管理服務,可以直接選擇證書。如何上傳證書,請參見上傳和共享SSL證書。
TLS安全策略
重要僅當上傳了HTTPS證書后,才允許修改TLS安全策略。建議TLS安全策略配置,與您為域名配置的TLS安全策略一致。為域名配置的TLS安全策略,請參見自定義TLS安全策略。
TLS協(xié)議版本:根據(jù)您的業(yè)務需要選擇。
https加密套件:
該選項包含以下加密套件:
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-SHA384
AES128-GCM-SHA256
AES256-GCM-SHA384
AES128-SHA256
AES256-SHA256
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-SHA
ECDHE-RSA-AES128-SHA
ECDHE-RSA-AES256-SHA
AES128-SHA
AES256-SHA
DES-CBC3-SHA
該選項包含以下加密套件:
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES128-SHA256
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-GCM-SHA384
該選項包含以下加密套件:
ECDHE-ECDSA-AES128-GCM-SHA256
ECDHE-ECDSA-AES256-GCM-SHA384
ECDHE-ECDSA-AES128-SHA256
ECDHE-ECDSA-AES256-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES256-SHA384
ECDHE-ECDSA-AES128-SHA
ECDHE-ECDSA-AES256-SHA
選擇該選項后,您需要從全部加密套件中選擇一個或多個加密套件。
說明僅增強套餐的DDoS高防實例支持自定義加密套件,標準套餐的DDoS高防實例不支持。
修改完成后,證書配置狀態(tài)會顯示為自定義證書。您可以單擊恢復默認將證書以及TLS安全策略恢復到默認配置。