HTTPS安全加速访问HTTP网站

场景示例

本文以下图场景为例。某公司的总部在美国硅谷，总部有一台自建服务器，服务器上部署了HTTP网站，客户端主要分布在中国香港。该公司的网站服务面临以下挑战：

• HTTP以明文方式传输数据，缺乏对网站验证的方法，导致网站系统面临极大的安全风险。
• 跨国公网不稳定，经常出现延迟、抖动、丢包等网络问题。

您可以部署全球加速服务，并配置HTTPS协议监听，加速中国香港用户访问美国硅谷地域的HTTP网站，同时对客户端的访问请求进行HTTPS加密，有效保障数据传输的安全性。

前提条件

您已经购买了SSL证书，并申请了该SSL证书。更多信息，请参见证书选型与购买和提交证书申请。

配置步骤

步骤一：组合购买实例

您可以在全球加速控制台填写自己的加速业务，系统会根据加速业务智能推荐加速方案。根据系统推荐的加速方案，您可以组合购买加速业务所需要的加速实例和基础带宽包。

1. 登录全球加速管理控制台。
2. 在实例列表页面，单击右上角的购买向导。
   说明 如果您是首次使用全球加速服务，请忽略该步骤。

   
3. 在智能推荐产品方案，选择以下与您业务相关的选项区域，根据以下信息填写加速业务，然后单击点击生成方案。

   配置	说明
   您需要加速的地域	选择需要进行访问加速的地域。 本文选择中国（香港）。
   服务所在地域	选择目标服务器所在的地域。 本文选择美国（硅谷）。
   是否有ICP备案	选择您的加速服务是否有备案。 本文选择无备案。 说明 所有对中国内地（大陆）提供服务的网站都必须先进行ICP备案，才可开通服务。更多信息，请参见什么是ICP备案。
   服务端部署在	选择后端服务部署在阿里云还是非阿里云。 本文选择非阿里云。
   峰值带宽的范围	输入业务高峰期需要的带宽用量，单位是Mbps。 本文输入2。
   最大并发连接数	最大并发连接数定义了一个全球加速实例能够承载的最大连接数量。当实例上的连接超过规格定义的最大连接数时，新建连接请求将被丢弃。 本文选择5千。

4. 在推荐方案区域，确认方案内容后，单击去组合购买。
   
5. 在购买页面，根据以下信息购买加速业务所需要的实例，然后单击立即购买并完成支付。

   配置	说明
   订购时间	选择实例的订购时间。
   规格	选择购买全球加速实例的规格。 本文选择小型Ⅰ（规格单元）
   带宽类型	选择购买基础带宽包的带宽类型。 本文选择精品加速带宽。
   带宽峰值	选择购买基础带宽包的带宽峰值。 本文选择为2 Mbps。

步骤二：添加加速区域

购买加速业务所需要的实例后，您便可以添加加速区域，指定可以加速访问后端服务的用户所在的地域并为其分配加速带宽。

1. 在实例列表页面，找到已创建的全球加速实例，单击实例ID。
2. 单击加速区域页签，然后在亚太页签下单击添加接入地域。
3. 在添加加速区域对话框，根据以下信息进行配置，然后单击确定。

   配置	说明
   地域	选择访问加速服务用户的所属地域。 本文选择中国（香港）。
   带宽	输入加速服务的地域带宽。 本文输入2 Mbps。
   IP地址协议	选择用户接入全球加速服务的IP地址协议。 本文选择IPv4。

   添加成功后，全球加速会在接入地域分配一个加速IP，用来加速用户访问。

步骤三：添加监听和终端节点组

监听负责检查连接请求，根据您指定的端口和协议处理来自客户端的入站连接。每个监听都关联一个终端节点组，通过指定要分发流量的地域，将终端节点组与监听关联。关联后，全球加速会将流量分配到与监听关联的终端节点组内的最佳终端节点。

配置基于HTTPS协议的监听时，需要添加服务器SSL证书。配置SSL证书后，网站使用HTTPS协议对网站数据的传输进行加密，有效保护敏感数据的传输。

1. 在实例详情页面，单击监听页签，然后单击添加监听。
2. 在配置监听和协议配置向导页面，根据以下信息配置监听，然后单击下一步。
   

   配置	说明
   监听名称	输入监听的名称。 名称长度为2~128个字符，以大小写字母或中文开头，可包含数字、下划线（_）和短划线（-）。
   协议	选择监听的协议类型。 本文选择HTTPS。
   端口	指定用来接收请求并向终端节点进行转发的监听端口，端口取值范围：1~65499。 本文输入443。
   客户端亲和性	选择是否保持客户端亲和性。保持客户端亲和性，即客户端访问有状态的应用程序时，可以将来自同一客户端的所有请求都定向到同一终端节点。 本文选择源IP。

3. 在配置SSL证书配置向导页面，根据以下信息配置终端节点组，然后单击下一步。
   • 选择服务器证书：选择您已经申请的SSL证书。
   • 在高级配置右侧单击修改，然后在TLS安全策略下拉列表选择目标策略。本文默认选择tls_cipher_policy_1_0。

     关于TLS安全策略，请参见TLS安全策略说明。

   
4. 在配置终端节点配置向导页面，根据以下信息配置终端节点组，然后单击下一步。

   此处仅介绍本文需要重点关注的配置项。更多配置信息，请参见终端节点组与终端节点概述。

   

   配置	说明
   节点组名称	输入终端节点组的名称。 名称长度为2~128个字符，以大小写字母或中文开头，可包含数字、下划线（_）和短划线（-）。
   地域	选择终端节点组所属的地域，即请求要访问的后端服务器的所属地域。 本文选择美国（硅谷）。
   后端服务部署在	选择后端服务部署在阿里云还是非阿里云。 本文选择非阿里云。
   保持客户端源IP	默认开启保持客户端源IP功能，HTTPS监听将从HTTP的x-forward-for头字段读取客户端源IP地址。
   终端节点	终端节点是客户端请求访问的后端服务器。您可以根据以下信息配置终端节点： 后端服务类型：选择自定义IP。 后端服务：输入要加速的后端服务的IP地址。 权重：输入终端节点权重，权重取值范围：0~255。全球加速根据您配置的权重按比例将流量路由到终端节点。 注意 如果某个终端节点的权重设置为0，全球加速将终止向该终端节点分发流量，请您谨慎操作。
   后端服务协议	选择后端服务器使用的服务协议： HTTP（默认值） HTTPS 本文保持默认配置为HTTP。
   端口映射	当您监听的端口和您终端节点提供服务的端口不相同时，您需要输入端口映射关系。 监听端口：只能填写当前监听的端口。本文输入443。 终端节点端口：您终端节点提供服务的端口。本文输入80。

5. 在配置审核配置向导页面，确认监听和终端节点配置信息后，单击提交。

步骤四：配置DNS解析

1. 登录域名解析控制台。
2. 在域名解析页面，找到目标域名，在操作列单击解析设置。
3. 单击添加记录，然后完成以下配置，然后单击确认。

   配置	说明
   记录类型	CNAME记录用于将域名指向另一个域名。 本文选择CNAME。
   主机记录	输入加速域名的前缀。 如果您的加速域名为www.aliyun.com，主机记录为www。 如果您的加速域名为aliyun.com，主机记录为@。 如果您的加速域名为*.aliyun.com，主机记录为*。 如果您的加速域名为mail.aliyun.com，主机记录为mail。
   解析线路	选择默认。
   记录值	输入全球加速实例分配的CNAME。 您可以在实例列表页面查看全球加速实例分配的CNAME。
   TTL	DNS解析记录在DNS服务器上的生存时间。 本文选择10分钟。

   说明

   • 新增CNAME记录会实时生效，修改CNAME记录72小时之内生效。
   • 如果您遇到添加冲突问题，可以换一个加速域名或者调整冲突的记录，请参见解析记录冲突。
   • 配置完CNAME后，由于状态更新约有10分钟延迟，控制台的域名列表页可能仍提示“未配置CNAME”，请您耐心等待。

步骤五：访问测试

1. 在接入地域（本文为中国香港）的电脑中打开命令行窗口。
2. 执行以下命令，测试客户端是否能正常访问部署在美国硅谷的HTTP网站。

   curl https://<网站域名>

   

3. 执行以下命令，查看数据包延迟情况。

   curl -o /dev/null -s -w "time_connect: %{time_connect}\ntime_starttransfer: %{time_starttransfer}\ntime_total: %{time_total}\n" "https://<网站域名>"

   其中：

   • time_connect：连接时间，从开始到建立TCP连接完成所用的时间，单位为秒。
   • time_starttransfer：开始传输时间。在客户端发出请求后，到后端服务器响应第一个字节所用的时间，单位为秒。
   • time_total：连接总时间。客户端发出请求后，到后端服务器响应会话所用的时间，单位为秒。

   

   

   说明 使用全球加速服务后的加速效果以您的实际业务测试为准。