概述
HTTPS 证书(也称为 SSL/TLS 证书)是一种由受信任的证书颁发机构(CA)签发的数字证书,用于验证网站身份并启用加密连接。它通过 SSL/TLS 协议在客户端(如浏览器)和服务器之间建立安全通道,确保数据传输的机密性(防止窃听)、完整性(防止篡改)和真实性(防止冒充)。证书包含网站的公钥、域名、颁发机构信息及有效期。使用全球加速创建 HTTPS 监听器时,您需要进行证书上传与管理。
认证模式
您可按需为全球加速监听器实例选择 HTTPS 认证模式,支持单向认证及双向认证,单向认证和双向认证的核心区别在于身份验证的方向和严格程度。
单向认证:仅客户端验证服务器身份,服务器不验证客户端,该认证模式下,您仅需上传服务器证书到全球加速。适用普通网站浏览、电商平台等公开服务,用户无需预先配置证书。
双向认证:客户端和服务器互相验证身份,该认证模式下,您需同时上传服务器证书及客户端证书到全球加速。适用企业内网、金融系统、医疗数据交换等高安全需求场景,仅允许持有合法证书的客户端访问。
对比项 | 单向认证 | 双向认证 |
验证方 | 仅客户端验证服务器 | 双方互相验证 |
客户端证书 | 不需要 | 必须配置 |
安全性 | 中等(防窃听、篡改) | 更高(防冒充、中间人攻击) |
复杂度 | 配置简单,仅需上传服务器证书 | 需上传服务器证书与客户端证书 |
典型应用 | 普通网站 | 银行系统、内部 API |
证书类型
证书类型分为默认服务器证书、自定义服务器以及 CA 证书,仅在认证模式选择双向认证时需要上传和管理 CA 证书。
证书类型 | 说明 |
默认服务器证书 | 监听器创建时上传的服务器证书即为默认证书,当客户端请求未匹配上其他任何自定义服务器证书时,全球加速将返回默认证书用于 HTTPS 认证。 默认证书仅支持替换,不支持删除或添加。 一个 HTTPS 监听器有且仅有一本默认证书。 |
自定义服务器证书 | 当需要通过一个全球加速实例加速多个 HTTPS 域名时,可为监听器添加多个自定义证书,每个证书对应不同域名。 说明: 自定义证书支持替换,所替换的新证书域名需与老证书域名保持一致,否则无法完成替换。 |
CA 证书 | 认证模式选择双向认证时,除服务器证书外,还需要上传 CA 证书,用于验证客户端身份的合法性。 CA 证书支持替换,不支持删除或添加。 一个 HTTPS 监听器有且仅有一本 CA 证书。 |
关联域名
全球加速支持单个 HTTPS 监听器下添加多个域名证书,实现多域名加速时的灵活管理。在添加自定义服务器证书时,您需要创建证书与域名的关联关系,关联后,全球加速将根据客户端请求域名返回对应证书,如没有匹配到任何自定义证书包含的域名,将返回默认证书。
上传证书
前提条件
已完成全球加速实例及 HTTPS 监听器创建。
操作步骤
1. 登录 全球加速控制台。
2. 在实例列表页面,单击目标实例 ID,进入实例详情页。
3. 单击监听器页签下的监听器 ID,进入监听器详情页。
4. 单击证书管理,进入证书管理页签。
5. 单击添加证书,在弹窗中完成添加配置。
配置项 | 说明 |
证书类型 | 所添加的证书类型,仅支持添加自定义服务器证书。 |
证书 | |
关联域名 | 服务器证书包含的域名,全球加速根据客户端请求域名返回对应证书。 |
替换证书
1. 登录 全球加速控制台。
2. 在实例列表页面,单击目标实例 ID,进入实例详情页。
3. 单击监听器页签下的监听器 ID,进入监听器详情页。
4. 单击证书管理,进入证书管理页签。
5. 单击已有证书右侧的替换,进行证书替换。
说明:
自定义服务器证书替换时,所替换的新证书域名需与老证书域名保持一致,否则无法完成替换。默认证书及 CA 证书替换时,无需域名一致。
删除证书
1. 登录 全球加速控制台。
2. 在实例列表页面,单击目标实例 ID,进入实例详情页。
3. 单击监听器页签下的监听器 ID,进入监听器详情页。
4. 单击证书管理,进入证书管理页签。
5. 单击已有自定义服务器证书右侧的删除。
6. 在弹窗中,单击确定,完成删除。
相关文档
