文档首页 > > 最佳实践> 推送证书到WAF最佳实践> 添加防护域名或更新证书

添加防护域名或更新证书

分享
更新时间: 2020/04/28 GMT+08:00

证书推送成功后,您还需要在WAF中,勾选HTTPS协议,并选择已推送的证书。

该任务指导用户如何在WAF中进行配置。

操作指引:

  • 添加防护域名:如果您的域名未在WAF中添加,则请参见本部分内容进行操作。更多详细配置可参见WAF手册中的添加防护域名
  • 更新证书:如果您的域名已在WAF中添加成功(已添加的域名与证书绑定的域名一一对应),且“对外协议”使用了HTTPS协议,则可参见本部分内容将证书更换成已推送的证书。

添加防护域名

如果您未在Web应用防火墙中添加您的域名,则请参见本部分内容进行操作。

前提条件

  • 已获取管理控制台的账号和密码。
  • 已完成证书推送。
  • 已购买Web应用防火墙服务。如未购买,则请参见购买Web应用防火墙进行购买。

操作步骤

  1. (可选)登录管理控制台
  2. 进入域名配置页面入口,如图1所示。

    图1 域名列表入口

  3. 在域名列表左上角,单击“添加防护域名”
  4. “添加防护域名”页面配置域名基本信息,如图2所示。

    图2 配置基本信息
    • “防护域名”:输入证书绑定的域名。
    • “端口”:可选参数,仅当用户勾选“非标准端口”时需要配置。

      “对外协议”选择“HTTPS”时,WAF默认防护“443”标准端口的业务。

      如需配置除“443”以外的端口,勾选“非标准端口”,在“端口”下拉列表中选择非标准端口。

    • “服务器配置”:网站服务器地址的配置。包括对外协议、源站协议、源站地址和源站端口。

      此处,“对外协议”请选择“HTTPS”协议。

    • “证书名称”:单击右侧的,并选择已推送的证书。
    • “是否已使用代理”:接入Web应用防火墙的网站已使用CDN(Content Delivery Network,内容分发网络)、云加速等代理。

      默认值为“否”

    更多详细配置请参见添加防护域名

  5. 单击“下一步”,进入“域名接入”页面,同时在页面的右上角,会弹出“域名添加成功”
  6. 到该域名的DNS服务商处,配置防护域名的别名解析,具体操作请咨询您的域名服务提供商。

    • 如果您使用了CDN或高防等代理类服务,页面如图3所示。
      请前往您使用的代理处,将该代理的回源地址修改为的WAF提供的CNAME地址。
      • 为了确保WAF转发正常,在修改DNS解析配置前,建议您参照本地验证进行本地验证确保一切配置正常。
      • 为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您到DNS服务商处添加“子域名”,并为它配置“TXT记录”。WAF会据此判断域名的所有权真正属于哪个用户。具体的配置方法请参见未配置子域名和TXT记录的影响
      图3 域名接入(使用代理)
    • 未使用代理,页面如图4所示。
      您需要到该域名的DNS服务商处,配置防护域名的别名解析,具体操作请咨询您的域名服务提供商。

      为了确保WAF转发正常,在修改DNS解析配置前,建议您参照本地验证进行本地验证确保一切配置正常。

      图4 域名接入(未使用代理)

      以下为华为云DNS的CNAME绑定方法,仅供参考。如与实际配置不符,请以各自域名服务商的信息为准。

      1. 进入云解析页面的入口,如图5所示。
        图5 云解析页面入口
      2. 在目标域名所在行的“操作”列,单击“修改”,进入“修改记录集”页面。
      3. 在弹出的“修改记录集”对话框中修改记录值,如图6所示。
        • “主机记录”:在WAF中配置的域名。
        • “类型”:选择“CNAME-将域名指向另外一个域名”
        • “线路类型”:全网默认。
        • “TTL(秒)”:一般建议设置为5分钟,TTL值越大,则DNS记录的同步和更新越慢。
        • “值”:修改为已复制的WAF CNAME地址。
        • 其他的设置保持不变。

        关于修改解析记录:

        • 对于同一个主机记录,CNAME解析记录不能重复,您需要将已存在的解析记录的CNAME修改为WAF CNAME地址。
        • 同一解析记录下,不同DNS解析记录类型间可能存在冲突。例如,对于同一个主机记录,CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法直接修改记录类型的情况下,您可以先删除存在冲突的其他记录,再添加一条新的CNAME记录。删除其他解析记录并新增CNAME解析记录的过程应尽可能在短时间内完成。如果删除A记录后没有添加CNAME解析记录,可能导致域名无法正常解析。

        域名解析类型的限制规则请参见为什么会提示解析记录集已经存在?

        图6 修改记录集
      4. 单击“确定”,完成DNS配置,等待DNS解析记录生效。

  7. (可选)验证域名的CNAME是否配置成功。

    1. 在Windows操作系统中,选择开始 > 运行,在弹出框中输入“cmd”,按“Enter”
    2. 执行nslookup命令,查询CNAME。如果回显的域名是配置的CNAME,则表示配置成功,示例如图7所示。

      以域名www.example.com为例。

      nslookup www.example.com
      图7 查询CNAME
      • 默认情况下,服务每隔一小时就会自动检测每个防护域名的“接入状态”
      • 一般情况下,如果您确认已完成域名接入,“接入状态”“已接入”,表示域名接入成功。

  8. 域名接入完成后,单击“下一步”
  9. 单击“完成”,防护域名添加成功。

更新证书

如果您的域名已在Web应用防火墙中添加成功(已添加的域名与证书绑定的域名一一对应),且“对外协议”使用了HTTPS协议,则可参见本部分内容将证书更换成已推送的证书。

前提条件

  • 已获取管理控制台的账号和密码。
  • 已完成证书推送。
  • 已购买Web应用防火墙服务。如未购买,则请参见购买Web应用防火墙进行购买。
  • 已在WAF中添加防护域名,且该防护域名跟证书域名一一对应。
  • “对外协议”使用了HTTPS协议。

操作步骤

  1. (可选)登录管理控制台
  2. 进入域名配置页面入口,如图8所示。

    图8 域名列表入口

  3. 在目标域名所在行的“防护域名”列中,单击目标域名,进入域名基本信息页面。
  4. 在证书所在行的证书名称后,单击,在弹出的“证书更新”对话框中,选择已推送的证书。
  5. 单击“确定”,证书更新完成。
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问