前提条件已准备与加速域名匹配的HTTPS证书。
说明 如果需要购买证书,您可以在SSL证书控制台申请个人测试证书(免费版)或购买正式证书。
第三方服务商签发的证书需满足证书格式要求。详细信息,请参见证书格式说明。
注意事项仅支持PEM格式的证书,其他格式的证书请参照证书格式转换方式进行格式转换。
上传第三方服务商签发的证书时,请使用无密码保护的私钥。
在阿里云数字证书管理服务(原SSL)中购买的证书支持批量部署至CDN平台,请参见:批量配置HTTPS证书。
您可以查看证书,但由于私钥信息敏感,不支持私钥查看,请妥善保管证书相关信息。其他证书相关的常见问题,请参见更多证书问题。
如果您不希望将私钥暴露在阿里云CDN以外的环境中,那么您可以使用数字证书管理服务提供的 CSR(Certificate Signing Request) 管理工具,生成基于RSA、ECC密钥算法的CSR和私钥,或上传已有的CSR,请参见手动创建或上传CSR。
如果需要实现全链路HTTPS加密,还需要配置CDN节点以HTTPS协议回源到源站服务器(源站服务器需要支持HTTPS协议)。
如果客户端在发起与CDN节点的SSL握手时没有传递SNI信息,则CDN节点无法保证能够握手成功。
计费说明在CDN中开启HTTPS功能后,将根据产生的静态HTTPS请求数单独计费,支持按量后付费和资源包预付费模式。
说明 CDN下行流量包不可抵扣HTTPS请求费用。
CDN仅支持静态加速,只产生静态请求相关的计费数据;全站加速同时支持静态加速和动态加速,当域名使用全站加速提供加速服务,且存在动态请求时,才会产生动态请求相关的计费数据(即动态HTTPS请求数和动态HTTP请求数)。
CDN与全站加速可以共享购买的静态HTTPS请求数资源包。
配置或更新HTTPS证书登录CDN控制台。
在左侧导航栏,单击域名管理。
在域名管理页面,找到目标域名,单击操作列的管理。
在指定域名的左侧导航栏,单击HTTPS配置。
在HTTPS证书区域,单击修改配置。
在HTTPS设置界面,打开HTTPS安全加速开关,并配置证书相关参数。
如果您已在阿里云数字证书管理服务中购买了证书,请选择云盾(SSL)证书中心,并在证书名称中选择已购买的证书。
说明 如果无法选择您购买的证书,请检查已购买证书绑定的域名和加速域名是否相同。
如果您使用的是第三方服务商签发的证书,请选择自定义上传(证书+私钥),您需要在设置证书名称后,上传证书(公钥)和私钥,该证书将在阿里云数字证书管理服务中保存。您可以在我的证书中查看。
参数
说明
证书名称
为要上传的证书设置一个名称。
支持使用英文字母、英文句号、数字、下划线(_)和短划线(-)。
说明 证书名称不能与已有证书名称重复。已有证书可以在我的证书中查看。
如果系统提示证书重复,请修改证书名称后再重新上传。
证书(公钥)
填写证书文件内容的PEM编码。
您可以使用文本编辑工具打开PEM格式的证书文件,复制其中的内容并粘贴到该文本框。
样例请参见输入框下方的pem编码参考样例。
私钥
填写证书私钥内容的PEM编码。
您可以使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框。
样例请参见输入框下方的pem编码参考样例。
说明 如果您得到的是以“-----BEGIN PRIVATE KEY-----”开头,以“-----END PRIVATE KEY-----”结尾的私钥,您需要使用OpenSSL工具执行以下命令进行转换,然后将new_server_key.pem的内容粘贴到该文本框。
openssl rsa -in old_server_key.pem -out new_server_key.pem单击确定,完成配置。
验证HTTPS配置是否生效更新HTTPS证书1分钟后将全网生效。您可以使用HTTPS方式访问资源,如果浏览器中URL旁边出现类似于锁的HTTPS标识,表示HTTPS证书配置已生效。
证书配置完成后,您需要留意证书过期时间并在证书过期前手动配置新的证书。
关闭HTTPS安全加速如果您不再使用HTTPS安全加速功能,可随时在CDN控制台关闭HTTPS安全加速。关闭HTTPS安全加速实时生效,关闭后使用HTTPS方式无法访问资源,且不再保留证书或私钥信息。
再次开启HTTPS安全加速时,需要重新选择需要使用的证书。
相关文档文档
描述
配置强制跳转
您可以通过配置强制跳转HTTPS功能,将客户端到CDN节点的请求强制重定向为更安全的HTTPS请求。
配置HSTS
开启HSTS(HTTP Strict Transport Security)功能,您可以强制客户端(例如:浏览器)使用HTTPS与CDN节点创建连接,提高安全性。
配置OCSP Stapling
CDN节点预先缓存在线证书验证结果并下发给客户端,无需浏览器直接向CA站点查询证书状态,减少用户验证时间。
相关问题源站已经配置了HTTPS,CDN上还需要配置HTTPS吗?
源站的HTTPS证书更新了,CDN上需要同步更新吗?
相关APIAPI
描述
CreateCdnCertificateSigningRequest
创建CSR(证书签名请求)文件。
DescribeDomainCertificateInfo
获取指定加速域名证书信息。
SetCdnDomainSSLCertificate
设置某域名下证书功能是否启用及更新证书信息。
SetCdnDomainCSRCertificate
设置指定域名下的HTTPS证书。
DescribeCdnDomainByCertificate
根据证书信息获取加速域名。
DescribeCdnCertificateDetail
查询CDN证书详细信息。
DescribeCdnCertificateList
获取证书列表信息。
DescribeCertificateInfoByID
获取指定证书信息。
DescribeCdnHttpsDomainList
获取用户所有证书信息。
DescribeUserCertificateExpireCount
获取用户证书过期的域名数。
SetCdnDomainSMCertificate
设置某域名下国密证书功能是否启用。
DescribeCdnSMCertificateList
获取指定加速域名下国密证书列表信息。
DescribeCdnSMCertificateDetail
获取国密证书的详细信息。