购买网站代理HTTPS实例后,您必须在SSL证书控制台添加要开启网站代理HTTPS服务的网站域名。添加域名后,网站代理HTTPS实例才会为网站提供HTTPS代理服务。本文介绍了添加域名的具体操作。

前提条件

已购买网站代理HTTPS实例。相关操作,请参见购买网站代理HTTPS实例

步骤1:申请证书

购买网站代理HTTPS实例后,您必须先通过网站代理HTTPS实例,为要代理的网站域名申请证书。只有成功签发证书后,您才可以为网站开启HTTPS代理。
重要 网站代理HTTPS的服务费用中默认包含一张全新的SSL证书。您为网站开启网站代理HTTPS时,必须使用这张新证书(即默认证书),不支持使用网站已有的证书。更多信息,请参见网站代理HTTPS是否支持使用网站已有证书?
  1. 登录数字证书管理服务控制台
  2. 在左侧导航栏,单击网站代理HTTPS
  3. 网站代理HTTPS页签,定位到要使用的实例(证书状态未申请),单击操作列下的添加域名
    说明 如果实例的证书状态正常(表示已经正常签发证书),则无需申请证书。您可以跳过该步骤,直接执行步骤2:添加回源配置
  4. 添加域名面板,填写以下域名信息,并单击下一步域名信息
    参数说明
    证书绑定域名填写证书用于保护的网站域名。

    将光标放置在问号图标上,可以查看支持填写的域名个数和类型(取决于当前证书的具体配置),以及获取更多填写帮助。

    重要
    • 域名类型必须与您购买证书时选择的域名类型相同。
    • 填写通配符域名时,一定要加上通配符号(*)。例如,*.aliyundoc.com
    域名验证方式选择验证域名持有者身份的方式。

    如果您填写的域名在阿里云域名服务控制台域名列表中,则此处自动选择自动DNS验证方式,且不支持修改。该方式由阿里云自动为您完成域名验证,无需您手动操作。

    如果您填写的域名不在阿里云域名服务控制台域名列表中,则仅支持手工DNS验证方式。该方式需要您登录域名的管理控制台,将域名验证信息配置到域名解析列表中(添加一条TXT类型的DNS解析记录)。
    重要 您需要域名解析的管理权限,才可以完成验证。
    联系人从下拉列表中选择本次证书申请的联系人(包含邮箱、手机号码等联系信息)。
    重要 收到证书申请请求后,CA中心会向联系人邮箱发送证书申请验证邮件或者通过联系人手机号码沟通审核相关事宜。因此,请务必确保联系人信息准确且有效。

    如果您未创建过联系人,可以单击新建联系人,新建一个联系人。数字证书管理服务会保存新建的联系人信息,方便您下次使用。关于新建联系人的具体配置,请参见管理联系人

    所在地选择申请人所在城市或地区。
    CSR生成方式CSR(Certificate Signing Request)文件是您的证书请求文件,包含了您的服务器信息和单位信息,需要提交给CA中心审核。您可以选择以下CSR生成方式:
    • 系统生成:表示由数字证书管理服务自动使用您在密钥算法指定的加密算法生成CSR文件(您可以在证书签发后下载证书和私钥)。推荐您使用该方式。
    • 手动填写:表示由您使用OpenSSL或Keytool工具手动生成CSR和私钥文件,并将CSR内容复制粘贴到CSR文件内容(私钥文件由您自行保管)。关于如何制作CSR和私钥文件,请参见如何制作CSR文件
      重要
      • CSR生成方式选择手动填写后,您将无法在数字证书管理控制台将该证书部署到阿里云产品中。
      • 您提供的CSR内容正确与否直接关系到证书申请流程是否能顺利完成,建议您使用数字证书管理服务自动生成的CSR(即选择系统生成方式),避免因提供的CSR内容不正确导致证书审核失败。
      • 请确保您手动填写的CSR使用的加密算法与密钥算法中选择的算法相同,否则您将无法顺利提交证书审核。 如果您不清楚CSR使用的加密算法,您可以通过查看CSR工具查看,具体操作,请参见查看CSR详情
      • 在制作CSR文件时请务必保存好您的私钥文件。私钥和SSL证书一一对应,一旦私钥丢失,您的SSL证书也将不可使用。阿里云不负责保管您的私钥,如果您的私钥丢失,您必须重新购买SSL证书。
    • 选择已有的CSR:表示从您在数字证书管理服务控制台创建的CSR中选择与证书绑定域名相匹配的CSR。
      您必须先使用数字证书管理服务提供的CSR管理工具手动创建CSR或上传已有的CSR,才可以使用该方式。具体操作,请参见创建CSR上传CSR
      重要 您选择的CSR使用的加密算法需要和您在密钥算法中设置的算法相同,否则您将无法顺利提交证书审核。如果您不清楚CSR使用的加密算法或域名,您可以通过查看CSR工具查看,具体操作,请参见查看CSR详情
    CSR文件内容只有在CSR生成方式手动填写时,需要配置该参数。在此处填写您的CSR文件内容。
  5. 添加域名面板,按照验证方式提示,完成域名所有权验证,并在完成后单击验证手工DNS验证
    关于域名验证的更多介绍,请参见域名所有权验证
    SSL证书服务将会检测您是否已按照页面要求完成域名所有权验证。检测通过后,当前页面将会出现域名验证成功的提示。
  6. 域名验证成功后,单击提交审核,并在弹出的提示对话框中,单击确认提交审核提示
    SSL证书服务会将您的证书申请提交给CA中心审核。请保持联系人电话畅通,并及时查阅联系人邮箱中来自CA中心的审核验证邮件,按照邮件提示完成验证。
  7. 等待CA中心完成审核并为您签发证书。
    成功签发证书后,网站代理HTTPS实例的证书状态将变更为正常(仅表示已有证书,HTTPS代理并未生效)。此时,您需要为域名添加回源配置。相关操作,请参见步骤2:添加回源配置

    如果证书状态为准备中,表示证书申请尚未完成(可能在某个环节出现问题),您可以单击操作列的状态检测,查看具体的信息,并按照页面提示解决可能存在的问题。

步骤2:添加回源配置

通过添加回源配置,您可以为要开启HTTPS代理的域名设置流量回源的方式(即经HTTPS代理后的流量转发到的源站地址)并根据需要设置强制HTTPS访问TLS/SSL卸载功能。

  1. 登录数字证书管理服务控制台
  2. 在左侧导航栏,单击网站代理HTTPS
  3. 网站代理HTTPS页签下,定位到要使用的实例(证书状态正常CNAME值为空),单击操作列下的添加域名
    说明 如果实例的CNAME值不为空,表示该实例已经完成回源配置。您可以跳过该步骤,直接执行步骤3:修改DNS解析记录
  4. 添加域名面板,完成以下回源配置回源配置
    参数说明
    源站地址填写源站服务器的地址。网站代理HTTPS实例会将代理后的网站访问请求转发到您设置的源站地址。
    支持IPv4域名两种类型。具体说明如下:
    • IPv4:最多允许填写3个IP地址(IPv4格式)。多个IP地址间使用半角逗号(,)分隔。填写多个IP地址后,网站代理HTTPS将使用轮询RR(Round Robin)算法转发回源请求。
      重要 不支持使用已开启安全防护及加速功能产品(例如,Web应用防火墙、DDoS高防、CDN等)的源站的IP地址,因为可能使这些安全防护和加速产品失效或减弱防护能力。
    • 域名:只允许填写1个源站域名。
      重要 不支持使用安全防护及加速功能产品(例如,Web应用防火墙、DDoS高防、CDN等)提供的CNAME域名。
    强制HTTPS访问该功能开关默认打开,表示浏览器端的每个HTTP请求都会被跳转成HTTPS请求。

    具体实现方式如下:来自客户端(浏览器)的每一个HTTP协议的URL地址请求,都将通过301重定向到等效的HTTPS协议的URL地址,同时支持HSTS(HTTP Strict Transport Security)。

    您可以根据需要打开、关闭该功能开关。

    TLS/SSL卸载该功能开关默认打开,表示阿里云服务器在转发回源请求时,只使用HTTP协议访问您的源站服务器。
    您可以根据需要打开、关闭该功能开关。关闭该功能开关后,阿里云服务器在转发回源请求时,将使用与客户端浏览器发起访问请求时相同的协议(HTTP、HTTPS)访问您的源站服务器。
    警告 如果您的源站只支持HTTP,请务必打开该功能开关,否则会导致您网站出现用户无法访问的情况。
  5. 单击确认
    添加回源配置后,SSL证书服务将为您添加的域名生成一个CNAME地址,您可以在网站代理HTTPS页签查看域名对应的CNAME地址。添加回源配置

    此时,域名的接入状态异常,您必须手动修改域名的DNS解析,将域名解析到对应的CNAME地址,才能正式为网站接入网站代理HTTPS服务。相关操作,请参见步骤3:修改DNS解析记录

步骤3:修改DNS解析记录

修改域名DNS解析需要通过域名的DNS服务商的系统进行操作。如果您的域名解析托管在阿里云云解析DNS,可以参照以下步骤进行操作;如果域名解析没有托管在云解析DNS,请前往DNS服务商的系统进行操作。

  1. 登录云解析DNS控制台
  2. 域名解析页面,定位到要操作的域名,单击操作列的解析设置
  3. 解析设置页面,定位到要操作的主机记录记录类型ACNAME),单击操作列的修改
  4. 修改记录面板,选择记录类型CNAME,并在记录值中填写域名对应的CNAME地址(即您在添加回源配置后获得的CNAME地址)。
    说明 不同DNS解析记录类型间存在冲突。例如,对于同一个主机记录,CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法直接修改记录类型或提示记录冲突的情况下,您可以先删除存在冲突的其他记录(例如,TXT记录、A记录),再添加一条新的CNAME记录。更多信息,请参见解析记录冲突规则
  5. 单击确认
    成功修改DNS解析记录后,解析记录的状态显示为正常。这时,您可以在本地计算机上,使用ping命令(ping 域名)验证修改后的解析记录是否已经生效。ping
    如果ping命令的执行请求被解析到域名对应的CNAME地址,表示解析记录已经生效。
    说明 由于DNS解析记录生效需要一定时间,如果验证失败,您可以等待10分钟后重新检查。
  6. 验证域名接入状态。
    修改后的解析记录生效后,您可以在数字证书管理服务控制台网站代理HTTPS页面,查询域名的接入状态接入状态正常

    此时,域名的接入状态将会更新为正常,表示网站域名已经成功接入网站代理HTTPS服务。网站的Web请求将会被转发到网站代理HTTPS实例,经过强制HTTPS跳转后,再转发到源站服务器。