本文为您介绍边缘安全加速 ESA所支持的证书类型,以及相关的基础配置操作流程。
边缘证书
在ESA平台配置边缘证书并启用SSL/TLS功能,可实现客户端与边缘节点之间请求的加密传输,确保数据传输的安全性和完整性。ESA默认开启了SSL/TLS功能,您可根据实际需要选择通过申请免费证书或上传自定义证书的方式,为您的站点配置边缘证书。
为进一步提升用户访问速度和安全性能,ESA提供了以下功能,您可根据实际需要进行相关功能配置。
强制HTTPS:当ESA节点收到客户端发起的HTTP请求后,会通过301重定向强制将HTTP请求转为HTTPS。
TLS加密套件与协议版本配置:当客户端对ESA节点发起HTTPS请求时,节点会响应请求并触发TLS握手流程,客户端与节点将共同商定一套兼容的加密套件和协议版本,以确保双向数据传输的安全性。
OCSP Stapling:可实现ESA预先缓存在线证书验证结果并下发给客户端,无需客户端直接向CA站点查询证书状态,从而减少证书验证时间,提升用户访问速度。
随机加密:当一个支持随机加密的浏览器访问启用该功能的站点时,ESA节点会自动在HTTP响应中加入
Alt-Svc头信息来告知浏览器该站点具备HTTPS服务能力,在指定端口(通常为443)提供HTTP/2 over TLS的支持。HSTS:(HTTP Strict Transport Security,HTTP 严格传输安全)是一种网络安全策略机制。它允许网站声明自身只能通过HTTPS访问,从而提升网站的安全性能。
功能入口
您可参照如下内容,进入边缘证书、强制HTTPS、随机加密等功能的配置界面。
在ESA控制台,选择站点管理,在站点列单击目标站点。
在左侧导航栏,选择。
在边缘证书界面根据需要配置证书、加密套件、强制HTTPS等信息。
客户端证书
客户端证书主要用于网络通信中的客户端身份验证,当客户端尝试连接到需要身份验证的服务器时,通过客户端证书即可完成身份验证。您可直接通过ESA提供的CA创建客户端证书,还可通过OpenAPI的方式配置您的自定义客户端证书。
还可根据实际需要将客户端证书与特定域名绑定,开启边缘mTLS,实现边缘TLS双向认证。开启边缘mTLS后仅通过验证客户端证书的方式校验其有效性,如果需要返回拦截页面,可在ESA中创建mTLS规则。
功能入口
您可参照如下内容,进入客户端证书的配置界面。
在ESA控制台,选择站点管理,在站点列单击目标站点。
在左侧导航栏,选择。
在客户端证书界面配置证书和域名信息。
源站证书
在ESA的源站证书功能中,您可以设置配置回源协议和端口、源站证书校验以及回源双向校验。通过设置配置回源协议和端口,您可以指定ESA节点回源请求所使用的协议及其对应的源站端口;通过源站证书校验,确保从源站返回的证书合法有效;当源站启用了mTLS双向认证并需要验证ESA身份时,您可以开启回源双向校验功能,从而实现双方的安全认证。
功能入口
您可参照如下内容,进入回源协议和端口、源站证书验证、回源双向验证的配置界面。
在ESA控制台,选择站点管理,在站点列单击目标站点。
在左侧导航栏,选择。
在源站证书界面根据需要配置回源协议和端口、源站证书验证以及回源双向验证。
- 本页导读
- 边缘证书
- 客户端证书
- 源站证书