配置HTTPS证书

更新时间: 2023-06-16 14:10:40

CDN支持HTTPS加速服务,您可以上传自定义证书或将已经托管在阿里云SSL证书服务的证书部署至CDN平台,启用HTTPS加速服务,实现全网数据加密传输。本文介绍配置和更新HTTPS证书的操作方法。

HTTPS证书管理

  • 根据认证级别不同,可分为多种类型的证书,不同类型证书的安全性和适用的网站类型不同。详细信息,请参见什么是数字证书管理服务

  • 如果需要购买证书,您可以在SSL证书控制台申请免费证书或购买高级证书。自有证书需满足证书格式要求。详细信息,请参见证书格式说明

  • 由于CDN采用的Tengine服务基于Nginx,因此开启HTTPS安全加速功能的加速域名,只支持上传Nginx能读取的PEM格式的证书。如果证书不是PEM格式,需转换成PEM格式。转换方法,请参见证书格式转换方式

  • 上传的证书需要和私钥匹配,否则会校验出错。

  • 不支持带密码的私钥。

  • 只支持携带SNI信息的SSL/TLS握手。

  • 您可以查看证书,但由于私钥信息敏感,不支持私钥查看。请妥善保管证书相关信息。其他证书相关的常见问题,请参见更多证书问题

配置或更新HTTPS证书

  1. 登录CDN控制台
  2. 在左侧导航栏,单击域名管理
  3. 域名管理页面,单击目标域名对应的管理
    域名管理
  4. 在指定域名的左侧导航栏,单击HTTPS配置
  5. HTTPS证书区域,单击修改配置

  6. HTTPS设置界面,打开HTTPS安全加速开关。

  7. 配置证书相关参数。

    证书

    参数

    说明

    证书来源

    证书来源包含以下两种,两种证书之间可以相互切换。

    • 云盾(SSL)证书中心

      您可以在SSL证书控制台快速申请各种品牌及各种类型的证书。

    • 自定义上传(证书+私钥)

      如果证书列表中无当前适配的证书,您可以上传自定义证书。您需要在设置证书名称后,上传证书内容和私钥,该证书将在阿里云SSL证书服务中保存。您可以在我的证书中查看。

      说明
      1. 上传该类型的证书时如果提示证书重复,您可以修改证书名称后再上传。

      2. 如果您不希望将私钥暴露在阿里云CDN以外的环境中,那么您可以使用数字证书管理服务提供的 CSR(Certificate Signing Request) 管理工具,生成基于RSA、ECC、SM2(国密)密钥算法的CSR和私钥,或上传已有的CSR,请参见管理CSR

    证书名称

    证书来源为以下两种时,需要配置证书名称。

    • 云盾(SSL)证书中心

    • 自定义上传(证书+私钥)

    证书(公钥)

    证书来源选择自定义上传(证书+私钥)时,需要配置证书(公钥)。配置方法参见证书(公钥)输入框下方的pem编码参考样例

    私钥

    证书来源选择自定义上传(证书+私钥)时,需要配置私钥。配置方法参见私钥输入框下方的pem编码参考样例

  8. 单击确定,完成配置。

验证HTTPS配置是否生效

更新HTTPS证书1分钟后将全网生效。您可以使用HTTPS方式访问资源,如果浏览器中出现锁的HTTPS标识,表示HTTPS安全加速已生效。验证结果

证书配置完成后,您需要留意证书过期时间并在证书过期前手动配置新的证书。

关闭HTTPS安全加速

如果您不再使用HTTPS安全加速功能,可随时在CDN控制台关闭HTTPS安全加速。关闭HTTPS安全加速实时生效,关闭后使用HTTPS方式无法访问资源,且不再保留证书或私钥信息。

再次开启HTTPS安全加速时,需要重新选择需要使用的证书。

相关API

API描述
CreateCdnCertificateSigningRequest创建CSR(证书签名请求)文件。
DescribeDomainCertificateInfo获取指定加速域名证书信息。
SetDomainServerCertificate设置指定域名下证书功能是否启用及修改证书信息。
SetCdnDomainCSRCertificate设置指定域名下的HTTPS证书。
DescribeCdnDomainByCertificate根据证书信息获取加速域名。
DescribeCdnCertificateDetail查询CDN证书详细信息。
DescribeCdnCertificateList获取证书列表信息。
DescribeCertificateInfoByID获取指定证书信息。
BatchSetCdnDomainServerCertificate批量设置域名下的证书功能是否启用及修改证书信息。
DescribeCdnHttpsDomainList获取用户所有证书信息。
DescribeUserCertificateExpireCount获取用户证书过期的域名数。
SetCdnDomainSMCertificate设置某域名下国密证书功能是否启用。
DescribeCdnSMCertificateList获取指定加速域名下国密证书列表信息。
DescribeCdnSMCertificateDetail获取国密证书的详细信息。

阿里云首页 CDN 相关技术圈