证书管理
全站加速 DCDN支持HTTPS安全加速服务,您可以将SSL证书部署至全站加速 DCDN平台并开启SSL/TLS功能,实现客户端与全站加速 DCDN节点间请求的加密传输。全站加速 DCDN为您提供免费证书和自定义证书两种证书配置方式。
如何选择适合您站点的证书
如果您的业务为中小企业站点或个人博客,并且域名为单一精确域名,建议申请免费证书。
如果您需要使用可信度更高的证书颁发机构,或者当前已经拥有域名证书,建议上传自定义证书。
证书类型 | 免费证书 | 自定义证书 |
签发机构 | Digicert | 任意签发机构 |
有效期 | 一年 | 以证书申请时为准 |
证书类型 | DV | DV、OV、EV |
证书算法 | RSA | RSA、ECC |
域名类型 | 单一精确域名 | 单一精确域名、泛域名 |
域名控制验证 | 自动 | 手动 |
证书续签 | 自动 | 手动 |
申请免费证书
免费证书功能为您提供了一种便捷的证书颁发和管理方式,输入域名即可自动完成证书申请、域名控制验证、续签及部署。
证书申请过程中全站加速 DCDN将自动完成域名控制验证,无需您手动确认,详情请参见免费证书自动域名控制验证。
全站加速 DCDN将在免费证书过期前的15天对免费证书进行自动续签,如果未成功续签,我们将通过短信和邮件的方式通知您,此时需要您上传自定义证书,从而避免业务受损。
登录DCDN控制台。
在左侧导航栏,单击站点管理。
在站点管理页面,单击目标站点名称,或对应站点操作列的详情。
在左侧导航栏,选择
。在证书管理区域,单击申请免费证书,在证书主机名栏输入和当前站点匹配的单域名,例如www.example.com。
说明每次配置最多输入10个域名,多个域名间需要用英文逗号分隔。
单击确定,等待免费证书申请完成即可。证书的申请状态可以在
中查看。
上传自定义证书
您可以在阿里云数字证书管理(云盾)或第三方服务商申请证书后,将证书部署至全站加速 DCDN。
登录DCDN控制台。
在左侧导航栏,单击站点管理。
在站点管理页面,单击目标站点名称,或对应站点操作列的详情。
在左侧导航栏,选择
。在证书管理区域,单击上传自定义证书。
如果您已在阿里云数字证书管理服务中购买了证书,请选择证书来源为云盾证书,并在证书名称中选择已购买的证书。
说明如果无法选择您购买的证书,请检查已购买证书绑定的域名和加速域名是否相同。
如果您使用的是第三方服务商签发的证书,请选择证书来源为自定义证书,您需要在设置证书名称后,上传证书(公钥)和私钥,该证书将在阿里云数字证书管理服务中保存。您可以在我的证书中查看。
参数
说明
证书名称
为要上传的证书设置一个名称。
支持使用英文字母、英文句号、数字、下划线(_)和短划线(-)。
说明证书名称不能与已有证书名称重复。已有证书可以在我的证书中查看。
如果系统提示证书重复,请修改证书名称后再重新上传。
证书(公钥)
填写证书文件内容的PEM编码。
您可以使用文本编辑工具打开PEM格式的证书文件,复制其中的内容并粘贴到该文本框。
私钥
填写证书私钥内容的PEM编码。
您可以使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框。
说明如果您得到的是以“-----BEGIN PRIVATE KEY-----”开头,以“-----END PRIVATE KEY-----”结尾的私钥,您需要使用OpenSSL工具执行以下命令进行转换,然后将
new_server_key.pem
的内容粘贴到该文本框。openssl rsa -in old_server_key.pem -out new_server_key.pem
单击确定,完成证书上传。
开启SSL/TLS功能
完成证书配置后,开启SSL/TLS功能将允许客户端使用HTTPS协议访问节点。
登录DCDN控制台。
在左侧导航栏,单击站点管理。
在站点管理页面,单击目标站点名称,或对应站点操作列的详情。
在左侧导航栏,选择
。打开开启SSL/TLS开关。
验证HTTPS配置是否生效
完成证书配置并开启SSL/TLS后,您可以使用浏览器以HTTPS方式访问资源,如果浏览器中URL旁边出现锁的HTTPS标识,表示HTTPS安全加速已生效。
更新自定义证书
由于全站加速 DCDN无法对您的自定义证书进行续签,请您在证书到期前更新证书或配置新的自定义证书,从而避免业务因证书到期受到影响。我们将会在自定义证书到期前30天发送短信和邮件提醒您进行证书更新。
更新已有证书
在
中选择要更新的证书,单击操作列的修改,更新证书内容并单击确定,即可完成证书更新。配置新的证书
选择
。参考上传自定义证书上传新的证书。
选择即将过期的证书,单击操作列的删除,根据界面提示,单击确定即可删除证书。
免费证书自动域名控制验证
域名控制验证是指证书颁发机构(CA)为域名颁发证书之前,申请人必须证明他们对该域名具有控制权。域名控制验证分为DNS和HTTP两种方式。
对于NS接入的站点,全站加速 DCDN使用DNS方式进行域名控制验证,当您为站点申请免费证书后,全站加速 DCDN将自动为站点添加一条TXT类型的DNS记录用于域名控制验证。
对于CNAME接入的站点,全站加速 DCDN使用HTTP方式进行域名控制验证,当您为站点申请免费证书后,CA进行域名控制验证的HTTP请求将直接由全站加速 DCDN节点返回。
证书选择优先级
同一个站点下支持同时配置免费证书和自定义证书,所有证书将构成证书池,当节点收到客户端请求时,将从证书池的多张证书中自动选择最优证书返回给客户端。证书选择优先级为:
优先选择可用状态的证书返回给客户端。例如:优先返回在有效期内的、和SNI匹配的证书。
优先选择和客户端加密算法匹配和的证书返回给客户端。例如:当客户端使用国密算法时返回国密证书,当客户端同时支持RSA和ECC时优先返回ECC证书。
单域名证书优先级高于泛域名证书。
配置时间较晚的证书优先级高于配置时间较早的证书。