如何配置HTTPS

安全超文本传输协议(Hyper Text Transfer Protocol over Secure Socket Layer,简称 HTTPS),是以安全为目标的HTTP通道。简单来说,HTTPS 是 HTTP 的安全版,即将 HTTP 用 SSL/TLS 协议进行封装,HTTPS 的安全基础是 SSL/TLS。

功能优势

传输过程中对用户的关键信息进行加密,防止类似Session ID或者Cookie内容被攻击者捕获造成的敏感信息泄露等安全隐患。 传输过程中对数据进行完整性校验,防止DNS或内容遭第三方劫持、篡改等中间人攻击(MITM)隐患,深入了解如何利用HTTPS技术有效防止流量劫持。 阿里云CDN提供了HTTPS安全加速方案。您只需要开启HTTPS后上传证书和私钥,并支持对证书进行查看、停用、启用、编辑操作。

说明

如果您有SNI回源的需要,请提交工单。

工作原理

在阿里云视图计算控制台开启的HTTPS,将实现用户和阿里云CDN节点之间请求的HTTPS加密。而CDN节点返回源站获取资源的请求仍按您源站配置的方式进行。建议您源站也配置并开启HTTPS,实现全链路的HTTPS加密。 以下是HTTPS加密流程:

  1. 客户端发起HTTPS请求。

  2. 服务端生成公钥和私钥(可以自己制作,也可以向专业组织申请)。

  3. 服务端把相应的公钥证书传送给客户端。

  4. 客户端解析证书的正确性。

    • 如果证书正确,则会生成一个随机数(密钥),并用公钥对该随机数进行加密,传输给服务端。

    • 如果证书不正确,则SSL握手失败。

      说明

      正确性包括:证书未过期、发行服务器证书的CA可靠、发行者证书的公钥能够正确解开服务器证书的发行者的数字签名、服务器证书上的域名和服务器的实际域名相匹配。

  5. 服务端用之前的私钥进行解密,得到随机数(密钥)。

  6. 服务端用密钥对传输的数据进行加密。

  7. 客户端用密钥对服务端的加密数据进行解密,拿到相应的数据。

注意事项

配置相关

支持HTTPS安全加速的启用和停用:

  • 您可以修改证书,系统默认兼容用户的HTTP和HTTPS请求。您也可以自定义对原请求方式设置强制跳转。

  • 停用后,系统不再支持HTTPS请求且将不再保留证书或私钥信息。再次开启证书,需要重新上传证书或私钥。

您可以查看证书,但由于私钥信息敏感,不支持私钥查看。请妥善保管证书相关信息。您可以更新证书,但请谨慎操作。更新HTTPS证书后1分钟内全网生效。

计费相关

HTTPS安全加速属于增值服务,开启后将产生HTTPS请求数计费,当前计费标准详见 HTTPS计费详情。

说明

HTTPS根据请求数单独计费,费用不包含在视图计算带宽流量内。请确保账户余额充足再开通HTTPS服务,以免因HTTPS服务欠费影响您的服务。

证书相关

  • 开启HTTPS安全加速功能的加速域名,您需要上传证书,包含证书和私钥,均为 PEM 格式。

    说明

    由于视图计算使用的底层CDN采用的Tengine服务基于Nginx,因此只支持Nginx能读取的证书,即PEM格式。具体方法,请看参考证书格式说明及转化方法。

  • 只支持携带SNI信息的SSL/TLS握手。

  • 您上传的证书需要和私钥匹配,否则会校验出错。

  • 不支持带密码的私钥。

操作步骤

  1. 购买证书。您需要具备匹配加速域名的证书才能开启HTTPS安全加速。您可以在 数字证书管理服务控制台快速申请免费的证书或购买高级证书。

  2. 登录视图计算控制台,进入 空间管理,选择空间,查看域名,选择 播放域名,点击 域名配置

  3. 选择 HTTPS设置 > HTTPS证书,单击修改配置

  4. HTTPS设置对话框中,开启HTTPS证书。

  5. 选择证书。您可以选择的证书类型包括:云盾、自定义和个人测试证书(免费版)。目前仅支持 PEM 的证书格式。请参考证书格式说明

    • 您可以选择云盾。若证书列表中无当前适配的证书,您可以选择自定义上传。您需要在设置证书名称后,上传证书内容和私钥,该证书将会在阿里云云盾的证书服务中保存。您可以在我的证书里查看。

    • 您也可以选择个人测试证书(免费版),即阿里云的Digicert免费型DV版SSL证书。CDN的个人测试证书(免费版)只适用于CDN的HTTP安全加速业务,因此您无法在阿里云云盾控制台管理该证书,也无法查看到公钥和私钥。设置个人测试证书(免费版)后,大约需要等候10分钟生效。

  6. 验证证书是否生效。证书生效后(约1分钟),使用HTTPS方式访问资源。如果浏览器中出现绿色HTTPS标识,表明当前与网站建立的是私密连接,HTTPS安全加速生效。

    说明

    关于更换证书说明:

    • 如果您想更换为个人测试证书(免费版)或阿里云云盾证书,直接在HTTPS设置页选择想替换的目标证书类型(即云盾或个人测试证书(免费版))即可。

    • 如果您想更换为自定义证书,在HTTPS设置页,选择自定义,然后将新证书的名称和内容填入对应框内,提交信息即可。