购买网站代理HTTPS实例后,您必须在SSL证书控制台添加要开启网站代理HTTPS服务的网站域名。添加域名后,网站代理HTTPS实例才会为网站提供HTTPS代理服务,即自动将网站的HTTP访问请求跳转到HTTPS协议。本文介绍了添加域名的具体操作。

前提条件

已购买网站代理HTTPS实例。相关操作,请参见购买网站代理HTTPS实例

使用限制

如果您的网站已经使用了通过代理实现的安全防护或访问加速服务(例如,Web应用防火墙、DDoS高防、CDN等),则对应的网站域名不能够添加到网站代理HTTPS实例(即不能同时开启网站代理HTTPS服务)。因为,同时开启网站代理HTTPS服务将会导致网站已使用的安全防护或访问加速服务的效果减弱或失效。

这种情况下,建议您使用安全防护或访问加速服务本身提供的HTTPS代理功能。

步骤1:申请证书

购买网站代理HTTPS实例后,您必须先通过网站代理HTTPS实例,为要代理的网站域名申请证书。只有成功签发证书后,您才可以为网站开启HTTPS代理。

  1. 登录SSL证书控制台
  2. 在左侧导航栏,单击网站代理HTTPS
  3. 网站代理HTTPS页签,定位到要使用的实例(证书状态未申请),单击操作列下的添加域名
    说明 如果实例的证书状态正常(表示已经正常签发证书),则无需申请证书。您可以跳过该步骤,直接执行步骤2:添加回源配置
  4. 添加域名面板,填写以下域名信息,并单击下一步域名信息
    参数 说明
    证书绑定域名 填写证书用于保护的网站域名。

    将光标放置在问号图标上,可以查看支持填写的域名个数和类型(取决于当前实例的具体配置),以及获取更多填写帮助。

    注意事项:
    • 域名类型必须与您购买证书时选择的域名类型(单域名、通配符域名)相同。
    • 填写通配符域名时,一定要加上通配符号(*)。例如,*.yourwebsite.com
    • 不支持填写.jp域名。
    • 申请DV证书时,不支持填写.gov(政府机构专用)、.edu(教育机构专用)域名。建议您购买OV、EV证书,用于保护.gov.edu域名。
    域名验证方式 选择验证域名持有者身份的方式。

    如果您填写的域名在阿里云域名服务控制台域名列表中,则此处自动选择自动DNS验证方式,且不支持修改。该方式由阿里云自动为您完成域名验证,无需您手动操作。

    如果您填写的域名不在阿里云域名服务控制台域名列表中,则仅支持手工DNS验证方式。该方式需要您登录域名的管理控制台,将域名验证信息配置到域名解析列表中(添加一条TXT类型的DNS解析记录)。
    注意 您需要域名解析的管理权限,才可以完成验证。
    联系人 从下拉列表中选择本次证书申请的联系人(包含邮箱、手机号码等联系信息)。
    注意 收到证书申请请求后,CA中心会向联系人邮箱中发送证书申请验证邮件或者通过联系人手机号码沟通审核相关事宜。因此,请务必确保联系人信息准确且有效。

    如果您未创建过联系人,可以单击新建联系人,新建一个联系人。SSL证书服务会保存新建的联系人信息,方便您下次使用。关于新建联系人的具体配置,请参见新建联系人

    所在地 选择申请人所在城市或地区。
    CSR生成方式 CSR(Certificate Signing Request)文件是您的公钥证书原始文件,包含了您的服务器信息和单位信息,需要提交给CA认证中心审核。

    手动填写开关默认关闭,表示由SSL证书服务自动为您生成CSR文件(您可以在证书签发后下载证书和私钥)。使用自动生成方式时,此处无需修改。

    如果打开手动填写开关,表示由您使用OpenSSL或Keytool工具手动生成CRS文件,并将CSR文件的内容复制粘贴到CSR文件内容。关于如何制作CSR文件,请参见如何制作CSR文件?

    注意
    • 您的CSR文件格式正确与否直接关系到您证书申请流程是否能顺利完成,建议您使用SSL证书服务自动生成的CSR,避免内容不正确而导致审核失败。
    • 手动填写CSR的证书不支持部署到阿里云产品。
    • 在制作CSR文件时请务必保存好您的私钥文件。私钥和SSL证书一一对应,一旦丢失了私钥,您的数字证书也将不可使用。阿里云不负责保管您的私钥,如果您的私钥丢失,您需要重新购买并替换您的数字证书。
    CSR文件内容 仅在打开CSR生成方式手动填写开关后,需要配置该参数。在此处填写您的CSR文件内容。
  5. 添加域名面板,按照验证方式提示,完成域名所有权验证,并在完成后单击验证验证方式
    SSL证书服务将会检测您是否已按照页面要求完成域名所有权验证。检测通过后,当前页面将会出现域名验证成功的提示。
  6. 域名验证成功后,单击提交审核,并在弹出的提示对话框中,单击确认提交审核提示
    SSL证书服务会将您的证书申请提交给CA中心审核。请保持联系人电话畅通,并及时查阅联系人邮箱中来自CA中心的审核验证邮件,按照邮件提示完成验证。
  7. 等待CA中心完成审核并为您签发证书。
    该流程一般在2个工作日内完成。
    成功签发证书后,网站代理HTTPS实例的证书状态将更新为正常(仅表示已有证书,HTTPS代理并未生效)。此时,您需要为域名添加回源配置。相关操作,请参见步骤2:添加回源配置

    如果证书状态为准备中,表示证书申请尚未完成(可能在某个环节出现问题),您可以单击操作列的状态检测,查看具体的信息,并按照页面提示解决可能存在的问题。

步骤2:添加回源配置

通过添加回源配置,您可以为要开启HTTPS代理的域名设置流量回源的方式(即经HTTPS代理后的流量转发到的源站地址)并根据需要设置强制HTTPS访问TLS/SSL卸载功能。

  1. 登录SSL证书控制台
  2. 在左侧导航栏,单击网站代理HTTPS
  3. 网站代理HTTPS页签下,定位到要使用的实例(证书状态正常CNAME值为空),单击操作列下的添加域名
    说明 如果实例的CNAME值不为空,表示已经完成回源配置。您可以跳过该步骤,直接执行步骤3:修改DNS解析记录
  4. 添加域名面板,完成以下回源配置回源配置
    参数 说明
    源站地址 填写源站服务器的地址。网站代理HTTPS实例会将代理后的网站访问请求转发到您设置的源站地址。
    支持IPv4域名两种类型。具体说明如下:
    • IPv4:最多允许填写3个IP地址(IPv4格式)。多个IP地址间使用英文逗号(,)分隔。填写多个IP地址后,网站代理HTTPS将使用轮询(RR)策略回源。
      注意 不支持使用具有安全防护及加速功能产品(例如,Web应用防火墙、DDoS高防、CDN等)的CNAME域名的IP地址,因为可能使这些安全防护和加速产品失效或减弱防护能力。
    • 域名:只允许填写1个回源域名。
      注意 请不要输入网站本身的域名。不支持具有安全防护及加速功能产品(例如,Web应用防火墙、DDoS高防、CDN等)的CNAME域名。
    强制HTTPS访问 该功能开关默认打开,表示浏览器端的每个HTTP请求都会被跳转成HTTPS请求。

    具体实现方式如下:来自客户端(浏览器)的每一个HTTP协议的URL地址请求,都将通过301重定向到等效的HTTPS协议的URL地址(同时支持HSTS)。

    您可以根据需要打开、关闭该功能开关。

    TLS/SSL卸载 该功能开关默认打开,表示阿里云服务器在转发回源请求时,只使用HTTP协议访问您的源站服务器。
    您可以根据需要打开、关闭该功能开关。关闭该功能开关后,阿里云服务器在转发回源请求时,将使用与客户端浏览器发起访问请求时相同的协议(HTTP、HTTPS)访问您的源站服务器。
    警告 如果您的源站不支持HTTPS,请务必打开该功能开关,否则会导致网站无法访问。
  5. 单击确认
    添加回源配置后,SSL证书服务将为您添加的域名生成一个CNAME地址,您可以在网站代理HTTPS页签查看域名对应的CNAME地址。添加回源配置

    此时,域名的接入状态异常,您必须手动修改域名的DNS解析,将域名解析到对应的CNAME地址,才能正式为网站接入网站代理HTTPS服务。相关操作,请参见步骤3:修改DNS解析记录

步骤3:修改DNS解析记录

修改域名DNS解析需要通过域名的DNS服务商的系统进行操作,具体操作指导,请参见修改DNS解析记录

成功修改域名的DNS解析后,您可以在SSL证书控制台网站代理HTTPS页面,查询域名的接入状态接入状态正常

此时,域名的接入状态将会更新为正常,表示网站域名已经成功接入网站代理HTTPS服务。网站的Web请求将会被转发到网站代理HTTPS实例,经过强制HTTPS跳转后,再转发到源站服务器。

相关FAQ

网站代理HTTPS是否支持使用网站已有证书?