如何在CDN上配置SSL認證實現安全的HTTPS訪問 - CDN

為CDN加速網域名稱配置HTTPS認證，能夠加密用戶端與CDN節點間的通訊鏈路，防止資料在公網傳輸中被竊取或篡改，提升業務安全。在阿里雲數位憑證管理服務（原SSL）中購買的認證支援批量部署至CDN平台，具體操作請參見：大量設定HTTPS認證。

適用範圍

配置前，需瞭解以下功能邊界和約束，以確保認證能成功部署：

購買認證：如果您沒有認證，可以選擇在SSL認證管理主控台購買正式認證。
私密金鑰要求：如果您選擇上傳自訂認證，則上傳的認證私密金鑰必須是無密碼保護的，請先驗證私密金鑰檔案是否已去除密碼保護。

操作步驟

登入CDN控制台。
在左側導覽列，單擊域名管理。
在域名管理頁面，找到目標網域名稱，單擊操作列的管理。
在指定網域名稱的左側導覽列，單擊HTTPS配置。
在HTTPS证书地區，單擊修改配置。

在HTTPS设置介面，開啟HTTPS安全加速開關，並配置認證相關參數。

如果您已在數位憑證管理服務（原SSL）中購買了認證，請選擇雲盾（SSL）認證中心，並在证书名称中選擇已購買的認證。
說明
如果無法選擇您購買的認證，請檢查已購買認證綁定的網域名稱和加速網域名稱是否相同。

如果您使用的是第三方服務商簽發的認證，請選擇自訂上傳（認證+私密金鑰），您需要在設定证书名称後，上傳認證（公開金鑰）和私钥，該認證將在阿里雲數位憑證管理服務中儲存，您可以在我的認證中查看。

自訂上傳認證對認證（公開金鑰）和私钥格式要求嚴格。如果您出現配置錯誤或看不懂配置樣本，可以參考上傳自訂認證處理認證（公開金鑰）和私钥，然後上傳。

參數	說明
证书名称	為要上傳的認證設定一個名稱。僅支援使用英文字母、英文句號、數字、底線（`_`）和短劃線（`-`），且不能與已有認證名稱重複。
認證（公開金鑰）	填寫步驟一中認證檔案內容的PEM編碼。
私钥	填寫步驟一中私密金鑰內容的PEM編碼。由於私密金鑰資訊敏感，上傳後不支援在控制台查看或匯出，需在本地妥善保管。

單擊確定，完成配置。

驗證HTTPS配置是否生效

瀏覽器驗證：使用瀏覽器訪問 https://您的加速網域名稱。如果地址欄出現安全鎖標誌，且點擊後能看到正確的認證資訊，則表示配置成功。
命令列驗證：執行 curl -I https://您的加速網域名稱，如果能正常返回 200，則表示HTTPS服務可用。

關閉HTTPS安全加速

如果您不再使用HTTPS安全加速功能，可隨時在CDN控制台關閉HTTPS安全加速。關閉HTTPS安全加速即時生效，關閉後使用HTTPS方式無法訪問資源，且不再保留認證或私密金鑰資訊。

再次開啟HTTPS安全加速時，需要重新選擇需要使用的認證。

上傳自訂認證

如果您擁有的是第三方服務商簽發或自簽名的認證，需要先將認證和私密金鑰處理成CDN支援的格式，然後上傳。

認證（公開金鑰）
CDN只支援上傳PEM格式的認證。其他格式的認證需要參考認證格式轉換將其轉換成PEM格式。針對不同憑證授權單位的認證，對認證內容的上傳有不同的要求：
- Root CA機構頒發的認證（一個認證檔案）
  使用文字編輯器即可開啟PEM格式的認證檔案，將以-----BEGIN CERTIFICATE-----開頭和以-----END CERTIFICATE-----結尾的內容一併上傳。
```
-----BEGIN CERTIFICATE-----
[認證內容]
-----END CERTIFICATE-----
```
- 中級機構頒發的認證（多個認證檔案）
  需將伺服器憑證、所有中間CA認證按順序拼接成一個完整的憑證鏈結檔案。檔案內容應遵循以下格式：
```
-----BEGIN CERTIFICATE-----
[伺服器憑證內容]
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
[中間CA認證內容]
-----END CERTIFICATE-----
```
私密金鑰
私密金鑰的副檔名一般為.key或.pem。使用文字編輯器即可開啟私密金鑰檔案。不同內容的私密金鑰上傳要求區別如下：
- RSA私密金鑰直接上傳
  如果私密金鑰內容以-----BEGIN RSA PRIVATE KEY-----開頭，-----END RSA PRIVATE KEY-----結尾，則直接上傳私密金鑰內容。
```
-----BEGIN RSA PRIVATE KEY-----
[私密金鑰內容]
-----END RSA PRIVATE KEY-----
```
- 其他格式私密金鑰先轉換格式再上傳
  如果您得到的是以-----BEGIN PRIVATE KEY-----開頭，以-----END PRIVATE KEY-----結尾的私密金鑰，您需要使用OpenSSL工具的轉換命令先對私密金鑰進行轉換，然後將轉換後的私密金鑰內容按照直接上傳的操作處理。其中old_server_key.pem為轉換前的私密金鑰，new_server_key.pem為轉換後的私密金鑰。
```
# 需要轉換的私密金鑰
-----BEGIN PRIVATE KEY-----
[私密金鑰內容]
-----END PRIVATE KEY-----
```
```
# 轉換命令
openssl rsa -in old_server_key.pem -out new_server_key.pem
```

計費說明

啟用HTTPS安全加速功能會產生額外費用。

計費項目：靜態HTTPS請求數。此費用獨立於CDN流量費，按賬戶下所有加速網域名稱產生的靜態HTTPS請求總數計費。
付費模式：支援按量後付費模式。
成本提醒：CDN下行流量包不可抵扣HTTPS請求產生的費用。

參考文檔

文檔	描述
配置強制跳轉	您可以通過配置強制跳轉HTTPS功能，將用戶端到CDN節點的請求強制重新導向為更安全的HTTPS請求。
配置HSTS	開啟HSTS（HTTP Strict Transport Security）功能，您可以強制用戶端（例如：瀏覽器）使用HTTPS與CDN節點建立串連，提高安全性。
配置OCSP Stapling	CDN節點預先緩衝線上認證驗證結果並下發給用戶端，無需瀏覽器直接向CA網站查詢認證狀態，減少使用者驗證時間。

API	描述
CreateCdnCertificateSigningRequest	建立CSR檔案。
DescribeDomainCertificateInfo	擷取指定加速網域名稱認證資訊。
SetCdnDomainSSLCertificate	設定某網域名稱下認證功能是否啟用及更新認證資訊。
SetCdnDomainCSRCertificate	設定指定網域名稱下的HTTPS認證。
DescribeCdnDomainByCertificate	根據認證資訊擷取加速網域名稱。
DescribeCdnCertificateDetail	查詢CDN認證詳細資料。
DescribeCdnCertificateList	擷取認證列表資訊。
DescribeCertificateInfoByID	擷取指定認證資訊。
DescribeCdnHttpsDomainList	擷取使用者所有認證資訊。
DescribeUserCertificateExpireCount	擷取使用者認證到期的網域名稱數。
SetCdnDomainSMCertificate	設定某網域名稱下國密認證功能是否啟用。
DescribeCdnSMCertificateList	擷取指定加速網域名稱下國密認證列表資訊。
DescribeCdnSMCertificateDetail	擷取國密認證的詳細資料。

CDN：配置HTTPS認證