配置边缘证书
边缘安全加速 ESA支持HTTPS安全加速服务,您可以将SSL证书部署至ESA平台并开启SSL/TLS功能,实现客户端与ESA节点间请求的加密传输。ESA为您提供免费证书和自定义证书两种证书配置方式。
证书类型
如果您的业务为中小企业站点或个人博客,并且域名为单一精确域名,建议申请免费证书。
如果您需要使用可信度更高的证书颁发机构,或者当前已经拥有域名证书,您可以上传自定义证书。
证书类型 | 免费证书 | 自定义证书 |
签发机构 | Let's Encrypt | 任意签发机构 |
有效期 | 三个月 | 以证书申请时为准 |
证书类型 | DV | DV、OV、EV |
证书算法 | RSA | RSA、ECC |
域名类型 | 精确域名、泛域名 | 单一精确域名、泛域名 |
域名控制验证 | 自动 | 手动 |
证书续签 | 自动 | 手动 |
同一个站点下支持同时配置免费证书和自定义证书,所有证书将构成证书池,当节点收到客户端请求时,将从证书池的多张证书中自动选择最优证书返回给客户端。详细情况,请参见证书选择优先级。
申请免费证书
免费证书功能为您提供了一种便捷的证书颁发和管理方式,输入域名即可自动完成证书申请、域名控制验证、续签及部署。
免费证书不支持下载。
证书申请过程中ESA将自动完成域名控制验证,无需您手动确认,详情请参见免费证书自动域名控制验证。
ESA将在免费证书过期前的15天对免费证书进行自动续签,如果未成功续签,我们将通过短信和邮件的方式通知您,此时需要您上传自定义证书,从而避免业务受损。
在ESA控制台,选择站点管理,在站点列单击目标站点。
在左侧导航栏,选择。
在证书管理区域,单击申请免费证书,输入证书域名。
说明每张证书最多可以输入50个域名,输入域名支持单域名和泛域名,且必须和站点匹配。
单击确定,等待免费证书申请完成即可。证书的申请状态可以在证书管理列表中查看。
上传自定义证书
您可以在阿里云数字证书管理(云盾)或第三方服务商申请证书后,将证书部署至ESA。
在ESA控制台,选择站点管理,在站点列单击目标站点。
在左侧导航栏,选择。
在证书管理区域,单击上传自定义证书。
如果您已在阿里云数字证书管理服务中购买了证书,请选择证书来源为云盾证书,并在证书名称中选择已购买的证书。
说明如果无法选择您购买的证书,请检查已购买证书绑定的域名和加速域名是否相同。
如果您使用的是第三方服务商签发的证书,请选择证书来源为自定义证书,您需要在设置完证书名称后,上传证书(公钥)和私钥,该证书将在阿里云数字证书管理服务中保存。您可以在SSL证书管理中查看。
参数
说明
证书名称
为要上传的证书设置一个名称。
支持使用英文字母、英文句号、数字、下划线(_)和短划线(-)。
说明证书名称不能与已有证书名称重复。已有证书可以在SSL证书管理中查看。
如果系统提示证书重复,请修改证书名称后再重新上传。
证书(公钥)
填写证书文件内容的PEM编码。
您可以使用文本编辑工具打开PEM格式的证书文件,复制其中的内容并粘贴到该文本框。
私钥
填写证书私钥内容的PEM编码。
您可以使用文本编辑工具打开PEM格式的证书私钥文件,复制其中的内容并粘贴到该文本框。
说明如果您得到的是以“-----BEGIN PRIVATE KEY-----”开头,以“-----END PRIVATE KEY-----”结尾的私钥,您需要使用OpenSSL工具执行以下命令进行转换,然后将
new_server_key.pem的内容粘贴到该文本框。openssl rsa -in old_server_key.pem -out new_server_key.pem
单击确定,完成证书上传。
开启SSL/TLS
完成证书配置后,开启SSL/TLS功能将允许客户端使用HTTPS协议访问节点。
在ESA控制台,选择站点管理,在站点列单击目标站点。
在左侧导航栏,选择。
打开开启SSL/TLS开关。
说明当前配置对站点下所有域名生效,如果您只想对指定域名开启SSL/TLS加密功能,请参考SSL/TLS规则为指定域名添加规则。
验证HTTPS配置是否生效
完成证书配置并开启SSL/TLS后,您可以使用浏览器以HTTPS方式访问资源,如果浏览器中URL旁边出现锁的HTTPS标识,表示HTTPS安全加速已生效。
更新自定义证书
由于ESA无法对您的自定义证书进行续签,请您在证书到期前更新证书或配置新的自定义证书,从而避免业务因证书到期受到影响。我们将会在自定义证书到期前30天发送短信、邮件提醒您进行证书更新。
更新已有证书
在中选择要更新的证书,单击操作列的修改,更新证书内容并单击确定,即可完成证书更新。
配置新的证书
选择。
参考上传自定义证书上传新的证书。
选择即将过期的证书,单击操作列的删除,根据界面提示,单击确定即可删除证书。
免费证书自动域名控制验证
域名控制验证是指证书颁发机构(CA)为域名颁发证书之前,申请人必须证明他们对该域名具有控制权。域名控制验证分为DNS和HTTP两种方式。
对于NS接入的站点,ESA使用DNS方式进行域名控制验证,当您为站点申请免费证书后,ESA将自动为站点添加一条TXT类型的DNS记录用于域名控制验证。
对于CNAME接入的站点,ESA使用HTTP方式进行域名控制验证,当您为站点申请免费证书后,CA进行域名控制验证的HTTP请求将直接由ESA节点返回。
当您需要为已成功接入并激活的站点申请免费证书时,ESA将为您的站点进行自动托管DCV。
证书选择优先级
同一个站点下支持同时配置免费证书和自定义证书,所有证书将构成证书池,当节点收到客户端请求时,将从证书池的多张证书中自动选择最优证书返回给客户端。证书选择优先级为:
优先选择可用状态的证书返回给客户端。例如:优先返回在有效期内的和SNI匹配的证书。
优先选择和客户端加密算法匹配的证书返回给客户端。例如:当客户端使用国密算法时返回国密证书,当客户端同时支持RSA和ECC时优先返回ECC证书。
单域名证书优先级高于泛域名证书。
配置时间较晚的证书优先级高于配置时间较早的证书。
不同套餐支持的支持情况
证书类型 | 基础版 | 标准版 | 高级版 | 企业版 |
免费证书 | 10张 | 30张 | 50张 | 100张 |
自定义证书 | 5张 | 10张 | 15张 | 20张 |