CDN支持HTTPS安全加速服務,您可以將HTTPS證書部署至CDN平臺,啟用HTTPS安全加速服務,實現客戶端與CDN節點間請求的加密傳輸。
前提條件
已準備與加速域名匹配的HTTPS證書。
注意事項
僅支持PEM格式的證書,其他格式的證書請參照證書格式轉換方式進行格式轉換。
上傳第三方服務商簽發的證書時,請使用無密碼保護的私鑰。
在阿里云數字證書管理服務(原SSL)中購買的證書支持批量部署至CDN平臺,請參見:批量配置HTTPS證書。
您可以查看證書,但由于私鑰信息敏感,不支持私鑰查看,請妥善保管證書相關信息。其他證書相關的常見問題,請參見更多證書問題。
如果您不希望將私鑰暴露在阿里云CDN以外的環境中,那么您可以使用數字證書管理服務提供的 CSR(Certificate Signing Request) 管理工具,生成基于RSA、ECC密鑰算法的CSR和私鑰,或上傳已有的CSR,請參見管理CSR。
如果需要實現全鏈路HTTPS加密,還需要配置CDN節點以HTTPS協議回源到源站服務器(源站服務器需要支持HTTPS協議)。
計費說明
在CDN中開啟HTTPS功能后,將根據產生的靜態HTTPS請求數單獨計費,支持按量后付費和資源包預付費模式。
CDN下行流量包不可抵扣HTTPS請求費用。
CDN僅支持靜態加速,只產生靜態請求相關的計費數據;全站加速同時支持靜態加速和動態加速,當域名使用全站加速提供加速服務,且存在動態請求時,才會產生動態請求相關的計費數據(即動態HTTPS請求數和動態HTTP請求數)。
CDN與全站加速可以共享購買的靜態HTTPS請求數資源包。
配置或更新HTTPS證書
登錄CDN控制臺。
在左側導航欄,單擊域名管理。
在域名管理頁面,找到目標域名,單擊操作列的管理。
在指定域名的左側導航欄,單擊HTTPS配置。
在HTTPS證書區域,單擊修改配置。
在HTTPS設置界面,打開HTTPS安全加速開關,并配置證書相關參數。
如果您已在阿里云數字證書管理服務中購買了證書,請選擇云盾(SSL)證書中心,并在證書名稱中選擇已購買的證書。
說明如果無法選擇您購買的證書,請檢查已購買證書綁定的域名和加速域名是否相同。
如果您使用的是第三方服務商簽發的證書,請選擇自定義上傳(證書+私鑰),您需要在設置證書名稱后,上傳證書(公鑰)和私鑰,該證書將在阿里云數字證書管理服務中保存。您可以在我的證書中查看。
參數
說明
證書名稱
為要上傳的證書設置一個名稱。
支持使用英文字母、英文句號、數字、下劃線(_)和短劃線(-)。
說明證書名稱不能與已有證書名稱重復。已有證書可以在我的證書中查看。
如果系統提示證書重復,請修改證書名稱后再重新上傳。
證書(公鑰)
填寫證書文件內容的PEM編碼。
您可以使用文本編輯工具打開PEM格式的證書文件,復制其中的內容并粘貼到該文本框。
樣例請參見輸入框下方的pem編碼參考樣例。
私鑰
填寫證書私鑰內容的PEM編碼。
您可以使用文本編輯工具打開KEY格式的證書私鑰文件,復制其中的內容并粘貼到該文本框。
樣例請參見輸入框下方的pem編碼參考樣例。
說明如果您得到的是以“-----BEGIN PRIVATE KEY-----”開頭,以“-----END PRIVATE KEY-----”結尾的私鑰,您需要使用OpenSSL工具執行以下命令進行轉換,然后將
new_server_key.pem的內容粘貼到該文本框。openssl rsa -in old_server_key.pem -out new_server_key.pem
單擊確定,完成配置。
驗證HTTPS配置是否生效
更新HTTPS證書1分鐘后將全網生效。您可以使用HTTPS方式訪問資源,如果瀏覽器中URL旁邊出現鎖的HTTPS標識,表示HTTPS安全加速已生效。
證書配置完成后,您需要留意證書過期時間并在證書過期前手動配置新的證書。
關閉HTTPS安全加速
如果您不再使用HTTPS安全加速功能,可隨時在CDN控制臺關閉HTTPS安全加速。關閉HTTPS安全加速實時生效,關閉后使用HTTPS方式無法訪問資源,且不再保留證書或私鑰信息。
再次開啟HTTPS安全加速時,需要重新選擇需要使用的證書。
相關文檔
文檔 | 描述 |
您可以通過配置強制跳轉HTTPS功能,將客戶端到CDN節點的請求強制重定向為更安全的HTTPS請求。 | |
開啟HSTS(HTTP Strict Transport Security)功能,您可以強制客戶端(例如:瀏覽器)使用HTTPS與CDN節點創建連接,提高安全性。 | |
CDN節點預先緩存在線證書驗證結果并下發給客戶端,無需瀏覽器直接向CA站點查詢證書狀態,減少用戶驗證時間。 |
相關問題
相關API
| API | 描述 |
| CreateCdnCertificateSigningRequest | 創建CSR(證書簽名請求)文件。 |
| DescribeDomainCertificateInfo | 獲取指定加速域名證書信息。 |
| SetDomainServerCertificate | 設置指定域名下證書功能是否啟用及修改證書信息。 |
| SetCdnDomainCSRCertificate | 設置指定域名下的HTTPS證書。 |
| DescribeCdnDomainByCertificate | 根據證書信息獲取加速域名。 |
| DescribeCdnCertificateDetail | 查詢CDN證書詳細信息。 |
| DescribeCdnCertificateList | 獲取證書列表信息。 |
| DescribeCertificateInfoByID | 獲取指定證書信息。 |
| BatchSetCdnDomainServerCertificate | 批量設置域名下的證書功能是否啟用及修改證書信息。 |
| DescribeCdnHttpsDomainList | 獲取用戶所有證書信息。 |
| DescribeUserCertificateExpireCount | 獲取用戶證書過期的域名數。 |
| SetCdnDomainSMCertificate | 設置某域名下國密證書功能是否啟用。 |
| DescribeCdnSMCertificateList | 獲取指定加速域名下國密證書列表信息。 |
| DescribeCdnSMCertificateDetail | 獲取國密證書的詳細信息。 |