配置边缘证书

证书类型

ESA支持免费证书与自定义上传证书双模式灵活配置：免费证书由系统自动签发并续期（基于Let's Encrypt等权威CA），适用于快速启用HTTPS加密；自定义证书则允许上传企业自有证书（如DigiCert/GlobalSign签发），满足品牌化SSL展示及合规需求，需用户自主管理有效期更新。

• 如果您的业务为中小企业站点或个人博客，并且域名为单一精确域名场景，建议申请免费证书。

• 如果您需要使用可信度更高的证书颁发机构，或者当前已有域名证书，建议上传自定义证书。

您可参考以下简单的配置流程学习如何在ESA部署SSL/TLS证书。

申请免费证书

免费证书功能为您提供了一种便捷的证书颁发和管理方式，输入域名即可自动完成证书申请、域名控制验证、续签及部署。

1. 在ESA控制台，选择站点管理，在站点列单击目标站点。

2. 在左侧导航栏，选择SSL/TLS > 边缘证书。

3. 在证书管理区域，单击申请免费证书，输入证书域名。

   说明

   每张证书最多可以输入50个域名，输入域名支持单域名和泛域名，且必须和站点匹配。

4. 单击确定，等待免费证书申请完成即可。

   证书申请成功后，状态列显示为正常。

   

上传自定义证书

您可以在阿里云数字证书管理（云盾）或第三方服务商申请证书后，将证书部署至ESA。

1. 在ESA控制台，选择站点管理，在站点列单击目标站点。

2. 在左侧导航栏，选择SSL/TLS > 边缘证书。

3. 在证书管理区域，单击上传自定义证书。

   • 如果您已在阿里云数字证书管理服务中购买了证书，请选择证书来源为云盾证书，并在证书名称中选择已购买的证书。

     说明

     如果无法选择您购买的证书，请检查已购买证书绑定的域名和加速域名是否相同。

   • 如果您使用的是第三方服务商签发的证书，请选择证书来源为自定义证书，您需要在设置完证书名称后，上传证书（公钥）和私钥。该证书将在阿里云数字证书管理服务中保存，您可以在SSL证书管理中查看。

     参数	说明
     证书名称	为要上传的证书设置一个名称。 支持使用英文字母、英文句号、数字、下划线_和连字符-。 说明 证书名称不能与已有证书名称重复。已有证书可以在SSL证书管理中查看。 如果系统提示证书重复，请修改证书名称后再重新上传。
     证书（公钥）	填写证书文件内容的PEM编码。 您可以使用文本编辑工具打开PEM格式的证书文件，复制其中的内容并粘贴到该文本框。
     私钥	填写证书私钥内容的PEM编码。 您可以使用文本编辑工具打开PEM格式的证书私钥文件，复制其中的内容并粘贴到该文本框。 说明 如果您得到的是以“-----BEGIN PRIVATE KEY-----”开头，以“-----END PRIVATE KEY-----”结尾的私钥，您需要使用OpenSSL工具执行以下命令进行转换，然后将new_server_key.pem的内容粘贴到该文本框。 openssl rsa -in old_server_key.pem -out new_server_key.pem

4. 单击确定，完成证书上传。

更新已有证书

1. 在ESA控制台，选择站点管理，在站点列单击目标站点。

2. 在左侧导航栏，选择SSL/TLS > 边缘证书。

3. 在证书管理区域选择需要更新的证书，单击操作区域的修改。

4. 根据实际需要修改证书内容，然后单击确定。

配置新证书

1. 在ESA控制台，选择站点管理，在站点列单击目标站点。

2. 在左侧导航栏，选择SSL/TLS > 边缘证书。

3. 在证书管理区域单击上传自定义证书，根据实际证书来源填写相关信息，然后单击确定。

4. 确保新证书上传完成后，单击即将过期证书操作列的删除，根据界面提示删除证书。

免费证书自动域名控制验证

为确保域名所有权合法性，证书颁发机构（CA）要求申请人通过以下方式完成验证：

• DNS验证（NS接入站点）：申请免费证书后，ESA将自动为站点添加一条TXT类型的DNS记录用于域名控制验证。

• HTTP验证（CNAME接入站点）：申请免费证书后，通过验证申请者能否在指定域名的Web服务器上放置特定文件，来确认申请者对域名的控制权。

当您需要为已成功接入并激活的站点申请免费证书时，ESA将为您的站点托管DCV。

证书选择优先级

同一个站点支持同时配置免费证书和自定义证书，所有证书构成证书池。当节点收到客户端请求时，将从证书池的多张证书中自动选择最优证书返回给客户端。证书选择优先级如下：

• 优先返回可用状态的证书（如有效期内且SNI匹配）。

• 单域名证书优先于泛域名证书。

• 配置时间较晚的证书优先于较早的证书。