CDN加密方式配置节点通常包括设置HTTPS协议、SSL/TLS证书以及启用安全传输。
申请证书
1、选择证书类型:
SSL证书根据其适用范围分为通配符域名、单个域名和多个域名。
用户需要确保购买的证书适用于加速域名,否则会导致证书不匹配错误。
2、获取证书:
用户可以向CA机构购买对应域名的证书。
阿里云云盾也提供服务器数字证书服务。
配置证书至CDN
1、上传证书:
在CDN控制台或通过API/SDK方式添加证书。
需要填写证书名称、公钥和私钥三个参数。
2、证书格式要求:
CDN仅支持PEM格式的证书,私钥需要RSA格式。
如果获取到的证书或私钥格式不符,需进行转换。
3、中间证书补全:
对于中级CA机构提供的证书,需要添加包括中间证书的完整证书链。
4、配置注意事项:
CDN不支持设置密码的私钥。
HTTPS配置生效时间约为1小时,更新证书后约10分钟生效。
HTTPS安全加速配置
1、开启HTTPS安全加速:
准备与加速域名匹配的PEM格式证书。
在CDN控制台开启HTTPS安全加速并配置证书。
2、配置客户端访问协议:
可以配置强制跳转,将所有HTTP请求转换为HTTPS请求。
配置HSTS(HTTP Strict Transport Security)以降低被劫持风险。
3、配置协议版本:
可以配置使用HTTP/2以提高Web性能。
设置TLS版本以满足通信链路的安全性要求。
4、其他配置:
可以配置OCSP Stapling以减少用户验证时间。
注意IP黑白名单、UserAgent黑名单等策略对HTTPS请求数的影响。
常见问题及解决方案
1、证书重复:
如果上传证书时提示证书重复,检查是否有同名证书或重新生成CSR文件。
2、证书格式不对:
根据CDN的要求,将证书或私钥转换为正确的格式。
3、源站配置:
如果源站已经配置了HTTPS,CDN上也需要同步更新证书。
4、计费:
开启CDN的HTTPS功能后,将根据产生的静态HTTPS请求数单独计费。
配置CDN加密方式主要涉及申请合适的SSL证书、正确配置到CDN系统中,并注意处理相关的技术细节和潜在问题,通过这些步骤,可以确保数据在传输过程中的安全性和完整性。
