修改DDoS高防IP的HTTPS证书及TLS安全策略

默认情况下DDoS高防IP会向客户端返回内置的默认HTTPS证书,当您需要更高的业务安全性时,支持您为DDoS高防上传自定义HTTPS证书,并修改TLS安全策略。本文介绍如何为DDoS高防IP上传自定义HTTPS证书并修改TLS安全策略。

注意事项

  • 仅IPv4高防IP支持修改HTTPS证书和TLS安全策略,IPv6高防IP不支持修改。

    • HTTPS证书:仅支持修改为国际标准证书,不支持修改为国密标准证书。

    • TLS安全策略:除了DDoS高防预设的加密套件选项外,还支持自定义加密套件。但仅增强套餐的高防IP支持自定义加密套件,标准套餐的高防IP不支持。

  • 关于各类型的DDoS高防实例,支持的TLS协议版本请参见下表。

    TLS协议版本

    DDoS高防(中国内地)

    DDoS高防(非中国内地)

    标准套餐

    增强套餐

    标准套餐

    增强套餐

    默认TLS协议版本

    TLS 1.0及以上

    TLS 1.0及以上

    TLS 1.1及以上

    TLS 1.1及以上

    支持调整为哪些TLS协议版本

    TLS 1.2及以上

    • TLS 1.1及以上

    • TLS 1.2及以上

    • TLS 1.3

    • TLS 1.0及以上

    • TLS 1.2及以上

    • TLS 1.0及以上

    • TLS 1.2及以上

    • TLS 1.3

前提条件

已将网站业务接入DDoS高防。具体操作,请参见添加网站配置

操作步骤

  1. 登录DDoS高防控制台

  2. 在顶部菜单栏左上角处,选择地域。

    • DDoS高防(中国内地):选择中国内地地域。

    • DDoS高防(非中国内地):选择非中国内地地域。

  3. 在左侧导航栏,选择接入管理 > 域名接入

  4. 在页面右上角单击高防IP默认SSL/TLS设置,定位到目标高防实例IP地址,单击操作列的修改,修改高防IP的HTTPS证书以及TLS安全策略。

    • HTTPS证书

      • 手动上传:填写证书名称,并将证书文件和私钥文件中的文本内容分别复制粘贴到证书文件私钥文件框中。

        说明
        • 对于PEM、CER、CRT格式的证书,您可以使用文本编辑器直接打开证书文件,复制其中的文本内容。对于其他格式(例如,PFX、P7B等)的证书,您需要将证书文件转换成PEM格式后,才能用文本编辑器打开并复制其中的文本内容。关于证书格式的转换方式,请参见证书格式转换HTTPS证书转换成PEM格式

        • 如果该HTTPS证书有多个证书文件(例如,证书链),您需要将证书链中的文本内容拼接合并后粘贴至证书文件中。

      • 选择已有证书(推荐):如果您已将证书上传到数字证书管理服务,可以直接选择证书。如何上传证书,请参见上传和共享SSL证书

    • TLS安全策略

      重要

      仅当上传了HTTPS证书后,才允许修改TLS安全策略。建议TLS安全策略配置,与您为域名配置的TLS安全策略一致。为域名配置的TLS安全策略,请参见自定义TLS安全策略

      • TLS协议版本:根据您的业务需要选择。

      • https加密套件

        • 全部加密套件,安全性较低,兼容性较高(默认)

          该选项包含以下加密套件:

          • ECDHE-ECDSA-AES128-GCM-SHA256

          • ECDHE-ECDSA-AES256-GCM-SHA384

          • ECDHE-ECDSA-AES128-SHA256

          • ECDHE-ECDSA-AES256-SHA384

          • ECDHE-RSA-AES128-GCM-SHA256

          • ECDHE-RSA-AES256-GCM-SHA384

          • ECDHE-RSA-AES128-SHA256

          • ECDHE-RSA-AES256-SHA384

          • AES128-GCM-SHA256

          • AES256-GCM-SHA384

          • AES128-SHA256

          • AES256-SHA256

          • ECDHE-ECDSA-AES128-SHA

          • ECDHE-ECDSA-AES256-SHA

          • ECDHE-RSA-AES128-SHA

          • ECDHE-RSA-AES256-SHA

          • AES128-SHA

          • AES256-SHA

          • DES-CBC3-SHA

        • 增强加密套件,安全性很高,兼容性很低

          该选项包含以下加密套件:

          • ECDHE-ECDSA-AES256-GCM-SHA384

          • ECDHE-ECDSA-AES128-SHA256

          • ECDHE-RSA-AES128-GCM-SHA256

          • ECDHE-RSA-AES256-GCM-SHA384

        • 强加密套件,安全性较高,兼容性较低

          该选项包含以下加密套件:

          • ECDHE-ECDSA-AES128-GCM-SHA256

          • ECDHE-ECDSA-AES256-GCM-SHA384

          • ECDHE-ECDSA-AES128-SHA256

          • ECDHE-ECDSA-AES256-SHA384

          • ECDHE-RSA-AES128-GCM-SHA256

          • ECDHE-RSA-AES256-GCM-SHA384

          • ECDHE-RSA-AES128-SHA256

          • ECDHE-RSA-AES256-SHA384

          • ECDHE-ECDSA-AES128-SHA

          • ECDHE-ECDSA-AES256-SHA

        • 自定义加密套件

          选择该选项后,您需要从全部加密套件中选择一个或多个加密套件。

          说明

          仅增强套餐的DDoS高防实例支持自定义加密套件,标准套餐的DDoS高防实例不支持。

    修改完成后,证书配置状态会显示为自定义证书。您可以单击恢复默认将证书以及TLS安全策略恢复到默认配置。