如果网站类业务接入DDoS高防时,协议类型选择了HTTPS协议,您必须上传HTTPS证书才能使DDoS高防帮助您清洗HTTPS业务流量。本文介绍如何上传HTTPS证书。
前提条件
- 已添加网站配置且网站支持HTTPS协议。更多信息,请参见添加网站。
- 已准备好证书文件。
如果您已将证书文件上传到数字证书管理服务控制台进行统一管理,那么在上传证书时您可以直接选择已有证书,否则您需要准备好网站的证书和私钥文件。您需要准备的证书相关内容包括:
- 使用PEM编码格式的证书文件(文件后缀是PEM或者CRT)
- 使用PEM编码格式的证书私钥文件(文件后缀是KEY)
说明 如果需要上传国密标准证书,您需要准备好签名证书文件、签名证书私钥文件、加密证书文件和加密私钥文件。
应用场景
在以下场景中,您需要上传HTTPS证书以保证您的业务可以正常进行:
- 接入域名时,域名的协议是HTTPS协议。
- 接入HTTPS协议的域名后,已上传的证书需要更换或因为证书过期需要更新。
说明 DDoS高防(新BGP)支持上传国际标准证书及国密标准证书(仅支持SM2算法),DDoS高防(国际)仅支持上传国际标准证书。
DDoS高防(新BGP)操作步骤
如果您的网站业务既支持国际标准证书,又支持国密标准证书,需要同时上传两种证书。
- 如果您的证书类型是国际标准,请参考以下操作上传证书。
- 在域名接入页面找到要操作的域名,在证书状态列下,单击HTTPS证书后的
图标。
- 在上传证书和私钥对话框,选择一种上传方式,并完成上传配置。
- (推荐)选择已有证书如果您的网站证书已经上传并托管在数字证书管理服务中,您可以直接从已有证书中选择证书并上传。
即使您的证书未托管在数字证书管理服务,您也可以单击前往SSL证书控制台管理,上传并管理您的证书,然后再选择已有证书。关于如何在数字证书管理服务控制台上传证书,请参见上传证书。
- 手动上传填写证书名称,并将证书文件和私钥文件中的文本内容分别复制粘贴到证书文件和私钥文件框中。
说明- 对于PEM、CER、CRT格式的证书,您可以使用文本编辑器直接打开证书文件,复制其中的文本内容。对于其他格式(例如,PFX、P7B等)的证书,您需要将证书文件转换成PEM格式后,才能用文本编辑器打开并复制其中的文本内容。关于证书格式的转换方式,请参见HTTPS证书转换成PEM格式。
- 如果该HTTPS证书有多个证书文件(例如,证书链),您需要将证书文件中的文本内容拼接合并后粘贴至证书文件中。
证书文件文本内容样例:-----BEGIN CERTIFICATE----- xxxxxxxxxxxxvs6MTXcJSfN9Z7rZ9fmxWr2BFN2XbahgnsSXM48ixZJ4krc+1M+j2kcubVpsE2cgHdj4v8H6jUz9Ji4mr7vMNS6dXv8PUkl/qoDeNGCNdyTS5NIL5ir+g92cL8IGOkjgvhlqt9vc65Cgb4mL+n5+DV9uOyTZTW/MojmlgfUekC2xiXa54nxJf17Y1TADGSbyJbsC0Q9nIrHsPl8YKkvRWvIAqYxXZ7wRwWWmv4TMxFhWRiNY7yZIo2ZUhl02SIDNggIEeg== -----END CERTIFICATE-----私钥文件文本内容样例:-----BEGIN RSA PRIVATE KEY----- xxxxxxxxxxxxtZ3UKHJTRgNQmioPQn2bqdKHop+B/dn/4VZL7Jt8zSDGM9sTMThLyvsmLQKBgQCr+ujntC1kN6pGBj2Fw2l/EA/W3rYEce2tyhjgmG7rZ+A/jVE9fld5sQra6ZdwBcQJaiygoIYoaMF2EjRwc0qwHaluq0C15f6ujSoHh2e+D5zdmkTg/3NKNjqNv6xA2gYpinVDzFdZ9Zujxvuh9o4Vqf0YF8bv5UK5G04RtKadOw== -----END RSA PRIVATE KEY-----
- (推荐)选择已有证书
- 单击确定。
- 在域名接入页面找到要操作的域名,在证书状态列下,单击HTTPS证书后的
- 如果您的证书类型是国密标准,请参考以下操作上传证书。
- 在域名接入页面找到要操作的域名,在证书状态列下,单击国密HTTPS后的图标。
- 在上传证书和私钥对话框,完成上传配置。
- 如果您的网站证书已经上传并托管在数字证书管理服务中,您可以直接从已有证书中选择证书并上传。
即使您的证书未托管在数字证书管理服务,您也可以登录数字证书管理服务控制台,上传并管理您的证书,然后再选择已有证书。关于如何在数字证书管理服务控制台上传证书,请参见上传证书。
- 如果您尚未购买国密标准证书,您可以单击去申请,前往数字证书管理服务控制台购买国密标准证书,然后再选择已有证书。关于如何购买证书,请参见购买SSL证书。
注意- 上传国密证书后,您还需要将TLS安全策略中开启国密开关打开,DDoS高防(新BGP)才支持处理安装国密标准证书的客户端发来的请求。具体信息,请参见自定义TLS安全策略。
- 如果客户端不支持SNI,DDoS高防(新BGP)会返回默认的国密证书,客户端就会返回“服务器证书不可信”的提示。
- 如果您的网站证书已经上传并托管在数字证书管理服务中,您可以直接从已有证书中选择证书并上传。
- 单击确定。
- 在域名接入页面找到要操作的域名,在证书状态列下,单击国密HTTPS后的
- 查看证书状态。成功上传证书后,证书状态会变更为正常。如果证书发生更新,您必须及时在DDoS高防控制台的域名接入页面修改证书(单击对应类型证书后的
图标),上传更新后的证书。
警告 如果证书已经更新,却没有在DDoS高防控制台修改证书,将会导致HTTPS业务解析异常。
DDoS高防(国际)操作步骤
- 在域名接入页面,定位到要操作的域名,单击证书状态列下的图标。
- 在上传证书和私钥对话框,选择一种上传方式,并完成上传配置。可选择的上传方式包括:
- (推荐)选择已有证书如果您的网站证书已经上传并托管在数字证书管理服务中,您可以直接从已有证书中选择证书并上传。
即使您的证书未托管在数字证书管理服务,您也可以单击前往SSL证书控制台管理,上传并管理您的证书,然后再选择已有证书。关于如何在数字证书管理服务控制台上传证书,请参见上传证书。
- 手动上传填写证书名称,并将证书文件和私钥文件中的文本内容分别复制粘贴到证书文件和私钥文件框中。说明
- 对于PEM、CER、CRT格式的证书,您可以使用文本编辑器直接打开证书文件,复制其中的文本内容。对于其他格式(例如,PFX、P7B等)的证书,您需要将证书文件转换成PEM格式后,才能用文本编辑器打开并复制其中的文本内容。关于证书格式的转换方式,请参见HTTPS证书转换成PEM格式。
- 如果该HTTPS证书有多个证书文件(例如,证书链),您需要将证书文件中的文本内容拼接合并后粘贴至证书文件中。
证书文件文本内容样例:-----BEGIN CERTIFICATE----- xxxxxxxxxxxxvs6MTXcJSfN9Z7rZ9fmxWr2BFN2XbahgnsSXM48ixZJ4krc+1M+j2kcubVpsE2cgHdj4v8H6jUz9Ji4mr7vMNS6dXv8PUkl/qoDeNGCNdyTS5NIL5ir+g92cL8IGOkjgvhlqt9vc65Cgb4mL+n5+DV9uOyTZTW/MojmlgfUekC2xiXa54nxJf17Y1TADGSbyJbsC0Q9nIrHsPl8YKkvRWvIAqYxXZ7wRwWWmv4TMxFhWRiNY7yZIo2ZUhl02SIDNggIEeg== -----END CERTIFICATE-----私钥文件文本内容样例:-----BEGIN RSA PRIVATE KEY----- xxxxxxxxxxxxtZ3UKHJTRgNQmioPQn2bqdKHop+B/dn/4VZL7Jt8zSDGM9sTMThLyvsmLQKBgQCr+ujntC1kN6pGBj2Fw2l/EA/W3rYEce2tyhjgmG7rZ+A/jVE9fld5sQra6ZdwBcQJaiygoIYoaMF2EjRwc0qwHaluq0C15f6ujSoHh2e+D5zdmkTg/3NKNjqNv6xA2gYpinVDzFdZ9Zujxvuh9o4Vqf0YF8bv5UK5G04RtKadOw== -----END RSA PRIVATE KEY-----
- (推荐)选择已有证书
- 单击确定。成功上传证书后,证书状态会变更为正常。如果证书发生更新,您必须及时在DDoS高防控制台的域名接入页面修改证书(单击证书后的图标),上传更新后的证书。
警告 如果证书已经更新,却没有在DDoS高防控制台修改证书,将会导致HTTPS业务解析异常。