香港CDN配置SSL证书教程
访问加速域名的证书是要在CDN控制台部署证书,源站SSL可有可无,有证书请使用443端口回源,没有证书就用80端口回源,免费证书如何获取,请看下面第三条,建议用户需要自行上传证书,如果您担心免费证书到期影响业务,可以前往香港云SSL证书页面下单购买商用证书,上传到CDN系统里面使用,有效期13个月,一次部署安心一整年,证书由美国SSL.com公司提供,大品牌指的信奈。
单域名证书 36元/年
通配符证书 280元/年
1、上传证书
如果您网站本身就有证书,例如很多人在使用“宝塔面板”这种服务器管理面板,可以将您服务器上的(宝塔面板)证书内容复制到CDN系统中,证书和密钥复制进去保存就行。
由于免费站点每日申请和续签证书的任务较多,申请证书耗时较长,用户体验也不好,我们建议大家通过上传证书的方式,来添加证书。
![[IMAGE]](https://gz.w22.net/cn2wiki/pageFiles/3/61/vYe4Ka4ZoMMdKOeZKp4Dxp.png)
2、 通过DNS账户申请
推荐大家使用DNS账户申请证书(支持通配符以及证书自动续期),路径:站点管理,证书管理,右侧有一个申请证书(需要提前添加DNS账户),目前支持 腾讯 阿里 等主流域名服务商(DNS作用是可以自动验证域名所有权,现在很多云厂商提供了权限分级,尽可能的降低风险,您只需要给创建一个可以编辑DNS权限的API即可,如果您担心不安全,就使用上传证书的功能)。
![[IMAGE]](https://gz.w22.net/cn2wiki/pageFiles/3/61/KTYOacTlhDHxYDjlPaGdsf.png)
2-1、腾讯云API
获取地址 https://console.cloud.tencent.com/cam/capi
2-2、阿里云API
获取地址 https://ram.console.aliyun.com/profile/access-keys
2-3、Cloudflare API
如何获取API?为什么要这个API令牌,因为申请证书需要验证域名所有权,只需要给一个DNS编辑权就行可以申请免费证书,并自动续期证书,登录后进入https://www.cloudflare.com/
![[IMAGE]](https://gz.w22.net/cn2wiki/pageFiles/3/61/twJ4Qno7oMFaBdlj002cHf.png)
![[IMAGE]](https://gz.w22.net/cn2wiki/pageFiles/3/61/PbO4qZbDo3MT7Rt8mYBXEt.png)
![[IMAGE]](https://gz.w22.net/cn2wiki/pageFiles/3/61/NzTkR8k3QpXBqPnjrFfp7f.png)
![[IMAGE]](https://gz.w22.net/cn2wiki/pageFiles/3/61/nNSGCkIeodHTQRLPw4ifbp.png)
![[IMAGE]](https://gz.w22.net/cn2wiki/pageFiles/3/61/zPg65GVAhykLLZCBxIyVCt.png)
3、通过CDN系统申请
证书首先需要验证域名所有权,有些人以为免费申请就是输入域名就开始自动申请证书,请按照下方步骤来。
1、新增解析并生效
需要申请证书的域名需要保证解析已经生效,也就是cname记录使用了香港CDN指定的记录值,啥时候能生效,这个取决于您的域名服务商,解析生效后,可以立即为您的域名申请证书,解析未生效,就会返回申请失败的提示,每次申请失败建议等待15分钟左右,务必检查一下自己的域名解析是否生效,解析是否准确。
2、一上来,域名添加后,就设置跳转,源站或CDN上配置http强制跳转到https,CDN上都没有配置证书,这样设置之后,网站能访问才怪呢。
3、域名所有权验证原理
我们系统是通过文件验证的方式对域名所有权进行验证,系统会将需要验证的文件部署到我们CDN节点上,然后访问您的域名+验证文件,能访问验证文件视为域名所有权验证成功,之后自动签发免费证书,所以第一步解析未生效或压根就没有解析到我们CDN上,是不可能申请到证书的。
4、当然有时候是因为同一节点同时申请证书的人数较多,导致节点IP被限制签发证书,这个等待几个小时或次日再次尝试申请,当然还可以选择上传证书或通过DNS申请证书。
4、配置/部署证书
![[IMAGE]](https://gz.w22.net/cn2wiki/pageFiles/3/61/SO82C7Rdhb3teCuShmKsCf.png)