更新时间:2024-10-24 GMT+08:00
分享

配置HTTPS证书

背景信息

CDN支持HTTPS安全加速,您可以通过在CDN控制台配置加速域名的HTTPS证书,启用HTTPS加速服务,证书配置成功后,客户端可以使用HTTPS协议请求CDN节点。HTTP和HTTPS协议的区别如下:

HTTP:HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读取其中的信息。

HTTPS:为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。

配置约束

  • CDN支持使用自有证书或SCM证书,自有证书格式必须满足HTTPS证书要求
  • 仅支持PEM格式的证书/私钥内容,如果您的证书为非PEM格式,请参照HTTPS证书要求进行格式转换。
  • 一个域名配置双证书时,证书标准不能一致。即已添加了“国际标准证书”的域名,配置双证书时只能添加“国密(SM)证书”
  • 如果您需要将“国际证书”切换为“国密证书”,需要先关闭QUIC功能

注意事项

  • 证书和加速域名需要匹配,您需要配置域名或泛域名对应的证书,泛域名证书配置请参见如何配置泛域名证书
  • 配置项停用后证书配置信息将会被清除,再次开启HTTPS配置需要重新配置证书相关信息。
  • 如果您的证书发生了变更,需及时同步更新CDN控制台HTTPS配置项里面的证书信息。
  • 如果您需要实现全链路HTTPS加密,还需要将修改回源协议配置为HTTPS(源站服务器需要支持HTTPS协议)。

配置HTTPS证书

  1. 登录华为云控制台,在控制台首页中选择“ CDN与智能边缘 > 内容分发网络 CDN”,进入CDN控制台。
  2. 在左侧菜单栏中,选择域名管理
  3. 在域名列表中,单击需要修改的域名或域名所在行的“设置”,进入域名配置页面。
  4. 选择“HTTPS配置”页签。
  5. “HTTPS配置模块”,单击“编辑”,系统弹出“配置HTTPS安全加速”对话框。
    图1 配置HTTPS安全加速

  6. 单击“状态”开关按钮,开启该配置项。
  7. 配置相关参数。
    表1 国际证书参数说明

    参数

    说明

    证书标准

    国际标准证书:符合国际标准的SSL证书。

    证书来源

    选择证书来源,有“自有证书”、“SCM证书”可选。

    证书名称

    • 如果是自有证书,请输入证书名称。建议证书名称为英文字母,长度为3-64个字符。
    • 如果选择SCM证书,CDN可以自动获取已经上传到CCM控制台的SSL证书,无需推送,配置更加方便快捷。

    证书内容

    • 如为自有证书,请用本地文本查看工具打开证书,将证书内容复制到文本框中。
    • 如为SCM证书,证书内容将由系统自动获取。
    说明:

    证书内容中不能有空格、空行,否则会提示证书参数错误。

    私钥内容

    • 如为自有证书,请用本地文本查看工具打开私钥,将私钥内容复制到文本框中。
    • 如为SCM证书,私钥内容将由系统自动获取。
    表2 国密证书参数说明

    参数

    说明

    证书标准

    国密(SM)证书。

    证书来源

    选择证书来源,可选“自有证书”、“SCM证书”。

    证书名称

    • 如果是自有证书,请输入证书名称。建议证书名称为英文,长度为3-64个字符。
    • 如果选择SCM证书,CDN可以自动获取已经上传到CCM控制台的SSL证书,无需推送,配置更加方便快捷。

    签名证书内容

    以文本方式打开待上传证书里的签名证书PEM格式的文件(后缀名为“.pem”),将证书内容复制到此处。

    按照“服务器证书-证书链”的顺序依次排列上传。

    签名私钥内容

    以文本方式打开待上传证书里的签名私钥KEY格式的文件(后缀名为“.key”),将私钥复制到此处。

    加密证书内容

    以文本方式打开待上传证书里的加密证书PEM格式的文件(后缀名为“.pem”),将证书内容复制到此处。

    此处无需上传证书链。

    加密私钥内容

    以文本方式打开待上传证书里的加密私钥KEY格式的文件(后缀名为“.key”),将私钥内容复制到此处。

  8. (可选)如果需要配置双证书,单击底部“添加证书”按钮,配置相关参数。
    • 双证书是指如果您配了一个国际证书,还可以配一个国密证书,不支持同时配置两个国际证书或两个国密证书。
  9. 单击“确定”,完成配置。
  10. 验证HTTPS证书是否生效。

    如果设置成功,您就可以通过HTTPS方式成功访问加速域名的网站资源,并且可以通过单击浏览器地址栏的锁头标志来查看网站认证信息。

更新HTTPS证书

如果您的域名证书发生了更新,您需要同步更新HTTPS配置项里面的证书信息。

  1. 登录华为云控制台,在控制台首页中选择“ CDN与智能边缘 > 内容分发网络 CDN”,进入CDN控制台。
  2. 在左侧菜单栏中,选择域名管理
  3. 在域名列表中,单击需要修改的域名或域名所在行的“设置”,进入域名配置页面。
  4. 选择“HTTPS配置”页签。
  5. 在HTTPS配置模块,单击“编辑”,系统弹出“配置HTTPS安全加速”对话框,如下图所示。
    图2 更新证书

  6. 单击“更新”,更新已配置的证书、私钥内容。证书/私钥内容生效大约需要5~10分钟。

查看HTTPS证书信息

您可以在HTTPS证书配置页面,查看加速域名已配置的HTTPS证书信息。

  1. 登录华为云控制台,在控制台首页中选择“ CDN与智能边缘 > 内容分发网络 CDN”,进入CDN控制台。
  2. 在左侧菜单栏中,选择域名管理
  3. 在域名列表中,单击需要修改的域名或域名所在行的“设置”,进入域名配置页面。
  4. 选择“HTTPS配置”页签。
  5. 在HTTPS配置页面,可以查看加速域名已配置的HTTPS证书过期时间等相关信息。您也可以查看证书内容,但基于安全考虑,不支持私钥内容查看。

关闭证书

  1. 登录华为云控制台,在控制台首页中选择“ CDN与智能边缘 > 内容分发网络 CDN”,进入CDN控制台。
  2. 在左侧菜单栏中,选择域名管理
  3. 在域名列表中,单击需要修改的域名或域名所在行的“设置”,进入域名配置页面。
  4. 选择“HTTPS配置”页签。
  5. 在HTTPS配置模块,单击“编辑”,系统弹出“配置HTTPS安全加速”对话框。
  6. 关闭“状态”开关,单击“确定”,即可关闭HTTPS证书功能。
    • 关闭证书功能前,请先关闭QUIC功能。

证书过期时间

证书链中各级证书的最早到期时间即为整个证书到过期时间。

  • 华为云CDN会在证书过期前30天、15天、7天分别以短信、邮件的形式向当前账号绑定的手机号和邮箱发送提醒(加速域名状态处于停用、禁用、删除中、审核中不会提醒),修改手机号和邮箱请参考修改华为账号手机号修改华为账号邮件地址

相关文档