配置SSL認證實現安全的HTTPS訪問 - Edge Security Acceleration

邊緣安全加速 ESA支援HTTPS安全加速服務，您可以將SSL/TLS認證部署至ESA平台並開啟SSL/TLS功能，實現用戶端與ESA節點間請求的加密傳輸。

配置認證

認證類型

ESA支援免費認證與自訂上傳認證雙模式靈活配置：免費認證由系統自動簽發並續期（基於Let's Encrypt等權威CA），適用於快速啟用HTTPS加密；自訂認證則允許上傳企業自有認證（如GlobalSign簽發），滿足品牌化SSL展示及合規需求，需使用者自主管理有效期間更新。

如果您的業務為中小企業網站或個人部落格，並且網域名稱為單一精確網域名稱情境，建議申請免費認證。
如果您需要使用可信度更高的憑證授權單位，或者當前已有網域名稱認證，建議上傳自訂認證。

認證類型	Let's Encrypt免費認證	Digicert免費認證	自訂認證
續簽方式	自動	自動	手動
認證類型	DV	DV	DV、OV、EV
認證演算法	RSA	RSA	RSA、ECC
網域名稱類型	精確網域名稱、泛網域名稱	單一精確網域名稱	單一精確網域名稱、泛網域名稱

說明

同一個網站下支援同時配置免費認證和自訂認證，所有認證將構成認證池，當節點收到用戶端請求時，將從認證池的多張認證中自動選擇最優認證返回給用戶端。

申請免費認證

免費認證功能為您提供了一種便捷的憑證發行和管理方式，輸入欄位名即可自動完成認證申請、網域名稱控制驗證、續簽及部署。

說明

免費認證不支援下載。
認證申請過程中ESA將自動完成網域名稱控制驗證，無需您手動確認，詳情請參見免費認證自動網域名稱控制驗證。
ESA將在免費認證到期前的15天對免費認證進行自動續簽，如果未成功續簽，我們將通過簡訊和郵件的方式通知您，此時需要您手動上傳自訂認證，從而避免業務受損。

在ESA控制台，選擇網站管理，在網站列單擊目標網站。
在左側導覽列，選擇SSL/TLS > 邊緣認證。
在證書管理地區，單擊申請免費認證，選擇憑證授權單位並輸入認證網域名稱：
- Let's Encrypt (無SLA）：每張免費認證最多包含50個網域名稱，輸入欄位名支援單網域名稱和泛網域名稱（泛網域名稱需要以*開頭），且必須和網站匹配。申請 example.com 的認證僅覆蓋該網域名稱，不包含子網域名稱（如 www.example.com）。如需覆蓋子網域名稱（如 www.example.com），需單獨申請泛網域名稱認證（*.example.com）或額外添加該子網域名稱。
- Digicert：Digicert單網域名稱認證只能選擇一個網站網域名稱。申請example.com的認證後，簽發將同時包含example.com和www.example.com。
單擊確定，等待免費認證申請完成即可。認證申請成功後，狀態列顯示為正常。

上傳自訂認證

您可以在阿里雲數位憑證管理（Apsara Stack Security）或第三方服務商申請認證後，將認證部署至ESA。

說明

如果需要購買認證，您可以在SSL認證控制台購買進階認證。
如果您的認證為第三方服務商簽發，則需滿足認證格式要求，詳細資料請參見認證格式說明。
您可以查看認證，但由於私密金鑰資訊敏感，不支援查看私密金鑰，請妥善保管認證相關資訊。

在ESA控制台，選擇網站管理，在網站列單擊目標網站。
在左側導覽列，選擇SSL/TLS > 邊緣認證。

在認證管理地區，單擊上傳自訂認證。

如果您已在阿里雲數位憑證管理服務中購買了認證，請選擇認證來源為Apsara Stack Security認證，並在证书名称中選擇已購買的認證。
說明
如果無法選擇您購買的認證，請檢查已購買認證綁定的網域名稱和加速網域名稱是否相同。

如果您使用的是第三方服務商簽發的認證，請選擇認證來源為自訂認證，您需要在設定完認證名稱後，上傳認證（公開金鑰）和私密金鑰。該認證將在阿里雲數位憑證管理服務中儲存，您可以在SSL認證管理中查看。

參數	說明
認證名稱	為要上傳的認證設定一個名稱。支援使用英文字母、英文句號、數字、底線`_`和連字號`-`。說明認證名稱不能與已有認證名稱重複。已有認證可以在SSL認證管理中查看。如果系統提示認證重複，請修改認證名稱後再重新上傳。
認證（公開金鑰）	填寫認證檔案內容的PEM編碼。您可以使用文本編輯工具開啟PEM格式的認證檔案，複製其中的內容並粘貼到該文字框。
私密金鑰	填寫認證私密金鑰內容的PEM編碼。您可以使用文本編輯工具開啟PEM格式的認證私密金鑰檔案，複製其中的內容並粘貼到該文字框。

單擊確定，完成認證上傳。

開啟SSL/TLS

成功部署SSL/TLS認證後，通過啟用SSL/TLS功能，用戶端可通過HTTPS協議與邊緣節點建立加密通訊，同時系統將自動攔截HTTP明文請求並強制跳轉至HTTPS，確保資料轉送全程加密防篡改，有效滿足安全合規要求，並提升網站可信度。

在ESA控制台，選擇網站管理，在網站列單擊目標網站。
在左側導覽列，選擇SSL/TLS > 邊緣認證。
開啟開啟SSL/TLS開關。
說明
當前配置對網站下所有網域名稱生效，如果您只想對指定網域名稱開啟SSL/TLS加密功能，請參考SSL/TLS規則為指定網域名稱添加規則。

驗證HTTPS配置是否生效

完成認證配置並開啟SSL/TLS後，您可以使用瀏覽器以HTTPS方式訪問資源，如果瀏覽器中URL旁邊出現鎖的HTTPS標識，表示HTTPS安全加速已生效。

p3701

更新自訂認證

ESA暫不支援自訂認證自動續期，為避免認證到期導致HTTPS服務中斷，請您於到期前及時登入控制台更新或重新設定認證。系統將在到期前30天通過寄件提醒您操作，建議預留充足的時間完成更新以確保商務持續性。

更新已有認證

在ESA控制台，選擇網站管理，在網站列單擊目標網站。
在左側導覽列，選擇SSL/TLS > 邊緣認證。
在認證管理地區選取項目需要更新的認證，單擊操作地區的修改。
根據實際需要修改認證內容，然後單擊確定。

配置新認證

在ESA控制台，選擇網站管理，在網站列單擊目標網站。
在左側導覽列，選擇SSL/TLS > 邊緣認證。
在認證管理地區單擊上傳自訂認證，根據實際認證來源填寫相關資訊，然後單擊確定。
確保新認證上傳完成後，單擊即將到期認證操作列的刪除，根據介面提示刪除認證。

不同套餐的支援情況

認證類型	Entrance	Pro	Premium	Enterprise
Let's Encrypt免費認證	10張	50張	70張	100張
Digicert免費認證	不支援	10張	20張	50張
自訂認證	5張	10張	20張	50張

Edge Security Acceleration：配置邊緣認證