配置边缘证书

边缘安全加速 ESA支持HTTPS安全加速服务,您可以将SSL证书部署至边缘安全加速 ESA平台并开启SSL/TLS功能,实现客户端与边缘安全加速 ESA节点间请求的加密传输。边缘安全加速 ESA为您提供免费证书和自定义证书两种证书配置方式。

证书类型

如果您的业务为中小企业站点或个人博客,并且域名为单一精确域名,建议申请免费证书

如果您需要使用可信度更高的证书颁发机构,或者当前已经拥有域名证书,建议上传自定义证书

证书类型

免费证书

自定义证书

签发机构

Let's Encrypt

任意签发机构

有效期

三个月

以证书申请时为准

证书类型

DV

DV、OV、EV

证书算法

RSA

RSA、ECC

域名类型

精确域名、泛域名

单一精确域名、泛域名

域名控制验证

自动

手动

证书续签

自动

手动

说明
  • 同一个站点下支持同时配置免费证书和自定义证书,所有证书将构成证书池,当节点收到客户端请求时,将从证书池的多张证书中自动选择最优证书返回给客户端。详细情况,请参见证书选择优先级

  • 不同套餐支持的证书数量不同,具体如下表所示。

    证书类型

    基础版

    标准版

    高级版

    企业版

    免费证书

    10张

    30张

    50张

    100张

    自定义证书

    5张

    10张

    15张

    20张

申请免费证书

免费证书功能为您提供了一种便捷的证书颁发和管理方式,输入域名即可自动完成证书申请、域名控制验证、续签及部署。

说明
  • 证书申请过程中边缘安全加速 ESA将自动完成域名控制验证,无需您手动确认,详情请参见免费证书自动域名控制验证

  • 边缘安全加速 ESA将在免费证书过期前的15天对免费证书进行自动续签,如果未成功续签,我们将通过短信和邮件的方式通知您,此时需要您上传自定义证书,从而避免业务受损。

  1. 登录ESA控制台

  2. 在左侧导航栏,单击站点管理

  3. 站点管理页面,单击目标站点名称,或对应站点操作列的详情

  4. 在左侧导航栏,选择SSL/TLS > 边缘证书

  5. 证书管理区域,单击申请免费证书,在申请免费证书栏,选择单域名证书或者泛域名证书。

    说明
    • 每张证书最多可以输入50个域名,输入域名支持单域名和泛域名,且必须和站点匹配。

  6. 单击确定,等待免费证书申请完成即可。证书的申请状态可以在证书管理列表中查看。

    image

上传自定义证书

您可以在阿里云数字证书管理(云盾)或第三方服务商申请证书后,将证书部署至边缘安全加速 ESA

说明
  • 如果需要购买证书,您可以在SSL证书控制台购买高级证书。

  • 第三方服务商签发的证书需满足证书格式要求。详细信息,请参见证书格式说明

  • 您可以查看证书,但由于私钥信息敏感,不支持查看私钥,请妥善保管证书相关信息。

  1. 登录ESA控制台

  2. 在左侧导航栏,单击站点管理

  3. 站点管理页面,单击目标站点名称,或对应站点操作列的详情

  4. 在左侧导航栏,选择SSL/TLS > 边缘证书

  5. 证书管理区域,单击上传自定义证书

    • 如果您已在阿里云数字证书管理服务中购买了证书,请选择证书来源云盾证书,并在证书名称中选择已购买的证书。

      说明

      如果无法选择您购买的证书,请检查已购买证书绑定的域名和加速域名是否相同。

    • 如果您使用的是第三方服务商签发的证书,请选择证书来源自定义证书,您需要在设置完证书名称后,上传证书(公钥)私钥,该证书将在阿里云数字证书管理服务中保存。您可以在SSL证书管理中查看。

      参数

      说明

      证书名称

      为要上传的证书设置一个名称。

      支持使用英文字母、英文句号、数字、下划线(_)和短划线(-)。

      说明
      • 证书名称不能与已有证书名称重复。已有证书可以在SSL证书管理中查看。

      • 如果系统提示证书重复,请修改证书名称后再重新上传。

      证书(公钥)

      填写证书文件内容的PEM编码。

      您可以使用文本编辑工具打开PEM格式的证书文件,复制其中的内容并粘贴到该文本框。

      私钥

      填写证书私钥内容的PEM编码。

      您可以使用文本编辑工具打开PEM格式的证书私钥文件,复制其中的内容并粘贴到该文本框。

      说明

      如果您得到的是以“-----BEGIN PRIVATE KEY-----”开头,以“-----END PRIVATE KEY-----”结尾的私钥,您需要使用OpenSSL工具执行以下命令进行转换,然后将new_server_key.pem的内容粘贴到该文本框。

      openssl rsa -in old_server_key.pem -out new_server_key.pem
  6. 单击确定,完成证书上传。

开启SSL/TLS功能

完成证书配置后,开启SSL/TLS功能将允许客户端使用HTTPS协议访问节点。

  1. 登录ESA控制台

  2. 在左侧导航栏,单击站点管理

  3. 站点管理页面,单击目标站点名称,或对应站点操作列的详情

  4. 在左侧导航栏,选择SSL/TLS > 边缘证书

  5. 打开开启SSL/TLS开关。image

验证HTTPS配置是否生效

完成证书配置并开启SSL/TLS后,您可以使用浏览器以HTTPS方式访问资源,如果浏览器中URL旁边出现锁的HTTPS标识,表示HTTPS安全加速已生效。验证结果

更新自定义证书

由于边缘安全加速 ESA无法对您的自定义证书进行续签,请您在证书到期前更新证书或配置新的自定义证书,从而避免业务因证书到期受到影响。我们将会在自定义证书到期前30天发送短信、邮件提醒您进行证书更新。

更新已有证书

SSL/TLS > 边缘证书 > 证书管理中选择要更新的证书,单击操作列的修改,更新证书内容并单击确定,即可完成证书更新。

配置新的证书

  1. 选择SSL/TLS > 证书管理 > 上传自定义证书

  2. 参考上传自定义证书上传新的证书。

  3. 选择即将过期的证书,单击操作列的删除,根据界面提示,单击确定即可删除证书。

免费证书自动域名控制验证

域名控制验证是指证书颁发机构(CA)为域名颁发证书之前,申请人必须证明他们对该域名具有控制权。域名控制验证分为DNS和HTTP两种方式。

  • 对于NS接入的站点,边缘安全加速 ESA使用DNS方式进行域名控制验证,当您为站点申请免费证书后,边缘安全加速 ESA将自动为站点添加一条TXT类型的DNS记录用于域名控制验证。

  • 对于CNAME接入的站点,边缘安全加速 ESA使用HTTP方式进行域名控制验证,当您为站点申请免费证书后,CA进行域名控制验证的HTTP请求将直接由边缘安全加速 ESA节点返回。

证书选择优先级

同一个站点下支持同时配置免费证书和自定义证书,所有证书将构成证书池,当节点收到客户端请求时,将从证书池的多张证书中自动选择最优证书返回给客户端。证书选择优先级为:

  • 优先选择可用状态的证书返回给客户端。例如:优先返回在有效期内的、和SNI匹配的证书。

  • 优先选择和客户端加密算法匹配和的证书返回给客户端。例如:当客户端使用国密算法时返回国密证书,当客户端同时支持RSA和ECC时优先返回ECC证书。

  • 单域名证书优先级高于泛域名证书。

  • 配置时间较晚的证书优先级高于配置时间较早的证书。