Web Application Firewall：配置自訂TLS

前提條件

• 網域名稱已通過CNAME接入完成網站接入。具體操作，請參見添加網域名稱。

• 網站網域名稱使用的是HTTPS協議且已上傳了HTTPS認證。具體操作，請參見添加網域名稱。

操作步驟

1. 登入Web Application Firewall控制台，在頂部功能表列，選擇WAF執行個體的資源群組和地區（中國內地、非中國內地）。

2. 在左側導覽列，選擇資產中心 > 網站接入。

3. 在網域名稱列表頁簽，定位到需要配置TLS的網域名稱，確認網域名稱對應的接入模式為Cname 接入，來源站點資訊對應的認證狀態為更新認證，然後單擊操作列的TLS配置。

   重要

   只有使用了HTTPS協議的網站網域名稱需要配置TLS。如果網站網域名稱使用的是HTTP協議或者使用HTTPS協議但是未上傳HTTPS認證，操作列不顯示TLS配置。

4. 在TLS安全性原則配置頁面，配置TLS協議版本和加密套件，單擊儲存。

   配置項	說明
   網域名稱	需要自訂配置TLS的網站網域名稱。此項已自動填寫，無需您手動設定。
   TLS協議版本	選擇網站使用的TLS版本。可選項： 支援TLS1.0及以上版本，相容性最高，安全性較低：選擇該項表示對TLS 1.0及以上所有版本生效。 支援TLS1.1及以上版本，相容性較好，安全性較好：選擇該項表示對TLS 1.1及以上所有版本生效，使用TLS 1.0將無法訪問該網站。 支援TLS1.2及以上版本，相容性較好，安全性最高：選擇該項表示對TLS 1.2及以上所有版本生效，使用TLS 1.0和1.1將無法訪問該網站。
   開啟支援TLS1.3	支援同時開啟TLS 1.3。
   加密套件	選擇您需要使用的加密套件類型。可選項： 全部加密套件，相容性較高，安全性較低，支援以下強加密套件和弱加密套件： 強加密套件 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 弱加密套件 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA SSL_RSA_WITH_3DES_EDE_CBC_SHA 協議版本的自訂加密套件、請謹慎選擇，避免影響業務