回源常见问题

配置回源协议为HTTPS后，无法访问网站，提示502报错时如何解决？

1. 检查域名是否能正确解析。

2. 检查源站是否能正常访问。

3. 检查源站是否支持HTTPS访问。

4. 如果源站IP绑定了多个域名，请配置默认回源SNI指明所请求的具体域名，服务器会根据配置的SNI名称正确返回域名对应的SSL证书，以确保正常回源。

Common Name白名单校验的是什么？

发生回源时，将校验CDN节点回源请求中SNI和源站返回证书的CommonName值，两者需一致方可成功回源。

如果您未修改回源SNI，CDN节点回源请求携带的Host值默认是加速域名，所以校验的是加速域名的证书的Common Name。

如何在HTTPS回源时配置自定义端口？

1. 登录CDN控制台。

2. 在左侧导航栏，单击域名管理。

3. 在域名管理页面，找到目标域名，单击操作列的管理。

4. 在指定域名的左侧导航栏，单击回源配置。

5. 在回源协议区域，打开回源协议开关。

6. 单击修改配置。

7. 根据需要配置自定义端口即可。

CDN配置开启HTTPS功能后回源时使用的协议是HTTP还是HTTPS？

在CDN上配置HTTPS证书与回源协议无关，默认情况下回源协议以配置源站中设置的回源端口为准：

• 回源端口设置为443：以HTTPS协议回源。

• 回源端口设置为80或其他：以HTTP协议回源。

如果您需要指定回源协议，可根据需要配置回源协议。

CDN访问OSS资源提示You have no right to access this object because of bucket acl.错误如何解决？

OSS的Bucket被配置为私有模式（可以起到访问鉴权的作用，避免非授权的请求盗刷流量），该情况下需要给加速域名开启OSS私有Bucket回源功能，可以解决该报错，实现CDN加速OSS私有Bucket资源。

CDN访问OSS资源提示This request is forbidden by kms.错误如何解决？

如果您的OSS Bucket中使用了密钥管理服务KMS（Key Management Service）进行加密，您需要为CDN的回源角色额外授予使用KMS密钥的权限，否则CDN将无法解密和访问这些文件，出现This request is forbidden by kms.报错。

1. 登录RAM控制台。

2. 在左侧导航栏，选择身份管理 > 角色。

3. 在角色名称列表下，找到AliyunCDNAccessingPrivateOSSRole角色。

4. 单击新增授权，授权主体会自动填入。

5. 在权限策略下选择系统策略，搜索AliyunKMSCryptoUserAccess，并单击AliyunKMSCryptoUserAccess，将其添加到已选择权限策略区域框中。

6. 单击确认新增授权，显示已完成。

7. 单击关闭。

   

8. 使用刷新资源功能，待刷新任务完成后，重新访问资源。

CDN使用STS实现跨账号回源OSS私有Bucket操作指引

默认情况下，CDN使用STS临时安全令牌的方式，只支持回源到同一个账号下的OSS私有Bucket，如果您期望使用STS临时安全令牌实现跨账号回源OSS私有Bucket，可以在OSS上添加Bucket授权策略来实现，配置方式如下：

1. 登录私有Bucket所在的阿里云账号，进入OSS控制台。

2. 依次单击Bucket 列表 > 目标Bucket > 权限控制 > Bucket 授权策略，在权限控制Bucket 授权策略页签中单击新增授权。

   

3. 授权用户选择其他账号，填写arn:sts:uid（uid需要填写CDN所在账号的账号ID），授权操作选择简单设置 > 只读（不包含ListObject操作），随后单击确定完成配置。

   

4. 添加成功之后，可以在Bucket 授权策略页签中看到授权信息。