預設情況下Anti-DDoS Pro會向用戶端返回內建的預設HTTPS認證,當您需要更高的業務安全性時,支援您為DDoS高防上傳自訂HTTPS認證,並修改TLS安全性原則。本文介紹如何為Anti-DDoS Pro上傳自訂HTTPS認證並修改TLS安全性原則。
注意事項
僅IPv4高防IP支援修改HTTPS認證和TLS安全性原則,IPv6高防IP不支援修改。
HTTPS認證:僅支援修改為國際標準認證,不支援修改為國密標準認證。
TLS安全性原則:除了DDoS高防預設的加密套件選項外,還支援自訂加密套件。但僅增強套餐的高防IP支援自訂加密套件,標準套餐的高防IP不支援。
關於各類型的DDoS高防執行個體,支援的TLS協議版本請參見下表。
TLS協議版本
DDoS高防(中國內地)
DDoS高防(非中國內地)
標準套餐
增強套餐
標準套餐
增強套餐
預設TLS協議版本
TLS 1.0及以上
TLS 1.0及以上
TLS 1.1及以上
TLS 1.1及以上
支援調整為哪些TLS協議版本
TLS 1.2及以上
TLS 1.1及以上
TLS 1.2及以上
TLS 1.3
TLS 1.0及以上
TLS 1.2及以上
TLS 1.0及以上
TLS 1.2及以上
TLS 1.3
前提條件
已將網站業務接入DDoS高防。具體操作,請參見添加網站配置。
操作步驟
登入DDoS高防控制台。
在頂部功能表列左上方處,根據DDoS高防產品選擇地區。
DDoS高防(中國內地):選擇中國內地地區。
DDoS高防(非中國內地):選擇非中國內地地區。
在左側導覽列,選擇。
在頁面右上方單擊高防IP默认SSL/TLS设置,定位到目標高防執行個體IP地址,單擊操作列的修改,修改高防IP的HTTPS認證以及TLS安全性原則。
請選擇認證:
手動上傳:填寫認證名稱:,並將認證檔案和私密金鑰檔案中的常值內容分別複製粘貼到認證檔案和私密金鑰檔案框中。
說明對於PEM、CER、CRT格式的認證,您可以使用文字編輯器直接開啟認證檔案,複製其中的常值內容。對於其他格式(例如,PFX、P7B等)的認證,您需要將認證檔案轉換成PEM格式後,才能用文字編輯器開啟並複製其中的常值內容。關於認證格式的轉換方式,請參見認證格式轉換或HTTPS認證轉換成PEM格式。
如果該HTTPS認證有多個認證檔案(例如,憑證鏈結),您需要將憑證鏈結中的常值內容拼接合并後粘貼至認證檔案中。
選擇已有認證(推薦):如果您已將認證上傳到數位憑證管理服務,可以直接選擇認證。如何上傳認證,請參見上傳和共用SSL認證。
TLS安全性原則
重要僅當上傳了HTTPS認證後,才允許修改TLS安全性原則。建議TLS安全性原則配置,與您為網域名稱配置的TLS安全性原則一致。為網域名稱配置的TLS安全性原則,請參見自訂伺服器HTTPS認證的TLS安全性原則。
TLS协议版本:根據您的業務需要選擇。
https加密套件:
- 說明
僅增強套餐的DDoS高防執行個體支援自訂加密套件,標準套餐的DDoS高防執行個體不支援。
修改完成後,证书配置状态會顯示為自定义证书。您可以單擊恢复默认將認證以及TLS安全性原則恢複到預設配置。