文档

配置HTTPS加速网关

更新时间:

购买HTTPS加速网关实例后,您需要添加一个用于访问HTTPS加速网关实例的域名。完成域名配置后,系统将为您分配一个CNAME记录,您需要在域名解析服务商将该CNAME记录解析到对应的域名,即可实现客户端与HTTPS加速网关之间的加密传输以及网站静态资源的加速访问。

前提条件

  • 已购买HTTPS加速网关服务,具体操作,请参见HTTPS加速网关购买指引

  • 已拥有稳定运行的业务服务器(即源站)和用于HTTPS加速的域名(一般使用子域名)。

    说明

    域名格式要求:

    • 域名长度为1~67个字符。

    • 支持:小写英文字母(a~z)、数字(0~9)和短划线(-),例如example.com

      短划线(-)不能连续出现、不能单独使用、不能出现在开头和结尾。

    • 不支持:中文、英文大写字母(A~Z)和除了短划线(-)以外的其他符号。

    • 如果域名包含中文(例如:阿里云.网址),请通过中文域名转码工具将中文域名转换成英文域名(例如:xn--fiq****.xn--eq****)。

  • 如果您的网站在中国内地提供服务,请确保域名已完成ICP备案。如果域名未备案,推荐您登录阿里云ICP代备案管理系统完成备案。ICP备案接入前请参考ICP备案服务器(接入信息)检查完成相关准备与检查。

  • 待接入的HTTPS加速网关域名未开启其他代理服务,例如该域名未在阿里云CDN、阿里云DCDN等产品中使用。

步骤一:添加HTTPS加速域名

  1. 登录数字证书管理服务控制台

  2. 在左侧导航栏,选择证书及域名应用服务 > HTTPS加速网关

  3. 域名管理页签,定位到目标实例,在操作列,单击添加域名

  4. 添加域名对话框,参考下表填写域名申请信息,单击确定

    配置项

    说明

    域名

    • 域名格式、备案要求:详见前提条件

    • 通配符域名(泛域名)要求:

      通配符可以实现所有的次级域名的HTTPS加速效果。例如,您添加*.aliyundoc.com作为HTTPS加速域名,当您完成*.aliyundoc.comCNAME解析后,该通配符域名的所有次级域名(例如example.aliyundoc.comdemo.aliyundoc.com等)均可以实现HTTPS加密和网站资源加速效果。

      • 最多支持三级通配符域名,即域名中含有3个点。例如*.example.aliyundoc.com

      • 通配符域名只能匹配同级别的子域名,不能跨级匹配。例如,*.aliyundoc.com的域名匹配demo.aliyundoc.com、learn.aliyundoc.com、example.aliyundoc.com等子域名,但是不匹配guide.demo.aliyundoc.com、developer.demo.aliyundoc.com等域名。

      • 如果通配符域名的主域名为一级域名,默认赠送主域名。例如,您申请的通配符域名为*.aliyundoc.com,则默认赠送主域名aliyundoc.com。如果您申请的通配符域名为*.demo.aliyundoc.com,则不会赠送demo.aliyundoc.comaliyundoc.com

    重要
    • 解析至中国内地服务器的网站、App等服务,必须完成ICP备案才可对外提供服务,因此请确保添加的域名已完成ICP备案。推荐您登录阿里云ICP代备案管理系统完成备案。ICP备案接入前请参考ICP备案服务器(接入信息)检查完成相关准备与检查。

    • 如果您的网站违反国家网络内容的要求或出现DDoS攻击后,HTTPS加速网关会停止服务。

    • 若要确保主域名(例如example.com)和www域名(例如www.example.com)均能够正常进行加密访问,需要购买两个HTTP加速网关实例。

    域名验证方式

    域名所有权验证方式选择。支持以下两种验证方式:

    • DNS验证:即在域名的DNS解析服务器上,为域名添加DNS解析记录。

    • 文件验证:您需要手动从控制台下载一个专用的验证文件,然后将该文件上传到站点服务器的指定验证目录。

    强制HTTPS访问

    开启该功能,浏览器端的每个HTTP请求都会被跳转成HTTPS请求。

    提醒联系人

    从下拉列表中选择联系人(包含邮箱、手机号码等联系信息),用于接收SSL证书即将到期提醒、资源消耗剩余量提醒等。最多允许添加10个联系人。

    如果您未创建过联系人,可以在下拉列表中单击新建联系人,新建一个联系人。数字证书管理服务会保存新建的联系人信息,方便您下次使用。关于新建联系人的具体配置,请参见管理联系人

    源站信息

    业务服务器地址,用于HTTPS加速网关回源获取资源。最多可添加20个。

    • IP:支持配置单个或者多个IP作为源站地址,不支持内网IP,仅支持公网IP。例如1.1.x.x

    • 源站地址:支持配置域名作为源站地址,可配置多个域名。例如aliyundoc.com,example.com

      说明

      源站域名不能与加速域名相同,否则会造成循环解析,无法回源。

    • 端口:根据源站的传输协议选择。仅支持选择80和443标准端口,如需添加其他非标端口,请通过专家一对一服务由技术人员处理

      • 源站使用HTTP:选择80端口

      • 源站使用HTTPS:选择443端口。

  5. 完成域名所有权验证。

    域名所有权验证完成后,您可以返回域名管理页签,检查目标实例状态是否为已启用。如有问题,请联系产品技术专家进行咨询,详情请参见专家一对一服务

    • DNS验证说明

      • DNS域名解析服务与证书申请者属于同一阿里云账号,系统会在5分钟内自动进行DNS验证,请您耐心等待。

      • DNS域名解析服务与证书申请者不属于同一阿里云账号,您需要手动在对应的DNS域名解析服务商添加一条TXT类型的解析记录,用于域名所有权验证。

    • 文件验证流程

      按照以下步骤配置完成后,需确保可以通过http://<您的域名>/.well-known/pki-validation/fileauth.txthttps://<您的域名>/.well-known/pki-validation/fileauth.txt访问到fileauth.txt文件内容。

      重要
      • 目前CA中心仅支持向80、443端口发起验证请求,因此您的服务器需确保开放80、443端口。

      • 服务器如果有HTTPS服务,一定确保可通过HTTPS地址访问到验证文件内容,否则建议您暂时关闭该域名的HTTPS服务,以免影响验证;服务器如果未配置过HTTPS服务,需确保HTTP地址可以访问到验证文件内容。

      • 访问HTTPS地址HTTP地址地址不能存在301或302跳转。如存在此类重定向跳转,请取消相关设置关闭跳转。 您可使用wget -S <URL地址>命令检测该验证URL地址是否存在跳转。

      • 如果您的域名为一级域名(例如aliyundoc.com),您需要确保该域名以www.为起始的二级域名也可被访问。以aliyundoc.com域名为例,您需要同时确保http://aliyundoc.com/.well-known/pki-validation/fileauth.txthttp://www.aliyundoc.com/.well-known/pki-validation/fileauth.txt都可被访问,否则验证将不通过。

      • 如果您的域名是以www.为起始的二级域名(例如www.example.com),您需要确保该域名对应的一级域名也可被访问。以www.example.com域名为例,您需要同时确保http://www.example.com/.well-known/pki-validation/fileauth.txthttp://example.com/.well-known/pki-validation/fileauth.txt都可被访问,否则验证将不通过。

      1. 在域名所在的服务器的Web根目录(Nginx默认为/var/www/html/)下创建文件验证目录以及验证文件(.well-known/pki-validation/fileauth.txt)。

      2. 复制记录值至fileauth.txt文件并保存。

        image.png

步骤二:配置CNAME

添加域名后,HTTPS加速网关会为您分配对应的CNAME域名,您需要在域名解析服务商将该CNAME记录解析至您的域名,使请求可以转发到HTTPS加速网关,实现加速效果。不同DNS解析服务器的方法有所差异,下面以阿里云DNS云解析服务配置为例介绍。

  1. 登录数字证书管理服务控制台

  2. 在左侧导航栏,选择证书及域名应用服务 > HTTPS加速网关

  3. 域名管理页签,定位到目标实例,在CNAME记录列,复制CNAME记录值。

    image.png

  4. 添加CNAME记录。

    1. 使用域名所在的阿里云账号,登录云解析DNS控制台

    2. 域名解析页面,定位到您的域名,在操作列,单击解析设置

      说明

      非阿里云注册的域名,需要先在云解析控制台完成域名添加,才能进行域名解析设置。具体操作,请参见添加域名

    3. 单击添加记录,参考下表添加CNAME记录,然后单击确认

      参数

      说明

      记录类型

      选择CNAME。

      主机记录

      • 一级域名(顶级域名或根域名),主机记录为@配置示例如下:

        • 域名为aliyundoc.com,主机记录为@

        • 域名为aliyundoc.com.cn,主机记录为@

      • 通配符域名,主机记录一般为*。配置示例:

        • 域名为.aliyundoc.com,主机记录为*

        • 域名为.aliyundoc.com.cn,主机记录为*

        • 域名为*.example.aliyundoc.com,主机记录为*.example

        • 域名为*.example.aliyundoc.com.cn,主机记录为*.example

      • 子域名,主机记录为子域名前缀。

        • 域名为example.aliyundoc.com,主机记录为example

        • 域名为example.aliyundoc.com.cn,主机记录为example

        • 域名为www.example.aliyundoc.com,主机记录为www.example

        • 域名为www.example.aliyundoc.com.cn,主机记录为www.example

      关于域名的解释,请参见基本概念

      解析请求来源

      保持默认线路。

      记录值

      输入域名对应的CNAME记录值。示例:aliyundoc.com.w.kunlunhuf.com

      TTL

      推荐保持默认。TTL为缓存时间,数值越小,修改记录后生效时间越快,默认为10分钟。

    4. 单击确认,完成添加。

      云解析DNS上新增CNAME记录实时生效,修改CNAME记录在10分钟后生效(具体生效时间长短取决于域名DNS解析配置的TTL时长,10分钟为TTL的默认时长)。由于控制台存在延迟,CNAME接入状态显示仅供参考。如果您能通过域名成功访问网站,那么表示CNAME解析已经生效。

相关操作

修改HTTPS加速网关实例信息

如果添加域名时填写的信息有误,您可以在域名管理页签,定位到需要修改的实例,在操作列,单击修改

说明

域名和域名验证方式不支持修改,如果填写有误,您可以重置HTTPS加速网关实例。具体操作,请参见重置HTTPS加速网关实例

重置HTTPS加速网关实例

在28个自然日内且未消耗网关资源计算数GRCQ(包括网站请求数和下行流量),如果添加的域名或选择的域名验证方式有误,您可以在域名管理页签,定位到目标实例,在操作列,单击重置,重新添加新的域名。

说明

域名添加后超过28个自然日,则将无法进行重置。

  • 本页导读 (1)