Web 应用防火墙：配置自定义TLS

前提条件

• 域名已通过CNAME接入完成网站接入。具体操作，请参见添加域名。

• 网站域名使用的是HTTPS协议且已上传了HTTPS证书。具体操作，请参见添加域名。

操作步骤

1. 登录Web应用防火墙控制台，在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）。

2. 在左侧导航栏，选择资产中心 > 网站接入。

3. 在域名列表页签，定位到需要配置TLS的域名，确认域名对应的接入模式为Cname 接入，源站信息对应的证书状态为更新证书，然后单击操作列的TLS配置。

   重要

   只有使用了HTTPS协议的网站域名需要配置TLS。如果网站域名使用的是HTTP协议或者使用HTTPS协议但是未上传HTTPS证书，操作列不显示TLS配置。

4. 在TLS安全策略配置页面，配置TLS协议版本和加密套件，单击保存。

   配置项	说明
   域名	需要自定义配置TLS的网站域名。此项已自动填写，无需您手动设置。
   TLS协议版本	选择网站使用的TLS版本。可选项： 支持TLS1.0及以上版本，兼容性最高，安全性较低：选择该项表示对TLS 1.0及以上所有版本生效。 支持TLS1.1及以上版本，兼容性较好，安全性较好：选择该项表示对TLS 1.1及以上所有版本生效，使用TLS 1.0将无法访问该网站。 支持TLS1.2及以上版本，兼容性较好，安全性最高：选择该项表示对TLS 1.2及以上所有版本生效，使用TLS 1.0和1.1将无法访问该网站。
   开启支持TLS1.3	支持同时开启TLS 1.3。
   加密套件	选择您需要使用的加密套件类型。可选项： 全部加密套件，兼容性较高，安全性较低，支持以下强加密套件和弱加密套件： 强加密套件 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 弱加密套件 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA SSL_RSA_WITH_3DES_EDE_CBC_SHA 协议版本的自定义加密套件、请谨慎选择，避免影响业务