本文介绍了如何在火山引擎内容分发网络（CDN）中配置证书，使其与您账号下的加速域名关联。

关联要求 #

要将证书与加速域名关联，证书必须满足以下要求：

• 域名匹配：证书必须是签发给该加速域名的。
  • 非泛域名证书：证书的 Common Name (CN) 字段或 Subject Alternative Name (SAN) 字段必须明确包含该加速域名。例如，签发给 www.example.com 的证书只能关联 www.example.com，无法关联 abc.www.example.com。
  • 泛域名证书：证书的 CN 或 SAN 字段包含泛域名（例如 *.example.com）。此类证书只能关联同级别的域名（例如 www.example.com），不能关联更深层级的域名（例如 abc.www.example.com）。
• 证书有效：证书必须处于有效期内。

关联加速域名 #

要将一本证书与一个或多个加速域名关联，您可以使用 "配置证书" 功能。关联成功后，CDN 会自动对该加速域名启用 HTTPS。

操作步骤 #

1. 登录 火山引擎内容分发网络控制台。
2. 在左侧导航栏，点击 证书管理。
   
3. 点击 配置证书。
4. 在 配置证书 向导中的 选择证书 步骤，从证书列表中选择一个需要与您的加速域名关联的证书，然后点击 下一步。
   
5. 在 关联域名 步骤中，在 可选域名 列表下方，勾选您要关联的加速域名，然后点击 下一步。

   说明

   • 可选域名 列表中的加速域名都是可以与您在上一步中选择的证书相关联的。您可以勾选一个或者多个加速域名。
   • 已选域名 列表中包含以下加速域名：
     • 已与您选择的证书关联的加速域名。您无法移除这些加速域名。
     • 您在 可选域名 列表中勾选的加速域名。您可以点击 x 移除这些加速域名。
   
6. 在 配置预检测 步骤，查看内容分网络检测出的配置冲突，并判断是否要取消某些加速域名的关联操作。
   • 对于 CDN 提示有操作风险的加速域名，请根据提示判断关联操作是否符合预期。如果不符合预期，请在 操作 列上点击 取消变更。
   • 对于提示错误的加速域名，因而无法变更的加速域名，CDN 不会对其继续关联操作。
   • 对于未检测出错误的加速域名，您可以继续关联操作。
     关于 CDN 是如何检测配置冲突的，参见 预检测的项目。
7. 确认无误后，点击 确认。
   

双证书 #

CDN 提供了双证书的配置能力，使您可以为一个加速域名配置使用两本使用不同密钥算法的服务器证书。

要使用双证书功能，请 提交工单。

如果您启用了 双证书 的功能，配置模式 的可选项中会出现 双证书。如果您设置 配置模式 为 双证书，您可以选择两本证书。选择证书的操作是将 待选证书 列表中的证书添加到 已选证书 列表中。

预检测的项目 #

在 "配置预检测" 步骤中，CDN 检测以下项目：

• 您配置证书后，加速域名的证书配置模式是否发生了变化。如果配置模式从单证书切换为双证书，或者从双证书切换为单证书，CDN 会提示风险。请根据提示信息确认配置模式的变化是否符合预期。
• 您配置证书后，加速域名服务器证书配置与访问双向认证的证书配置是否存在冲突。在 CDN 中，这两个配置之间存在依赖关系。对于双向认证配置的证书，这些证书使用的密钥算法必须包含服务器证书使用的密钥算法。如果检测到冲突，CDN 会提示无法变更。
  • 例子：配置证书后，双向认证配置的单 CA 证书使用的密钥算法是 RSA，配置的双服务器证书使用密钥算法分别是 RSA，ECC。在这个情况下，由于前者 {RSA} 没有包含后者 {RSA, ECC}，CDN 提示无法变更。

解除域名关联 #

要解除一本证书与某个加速域名的关联，您可以对该加速域名禁用 HTTPS。需要注意的是，在禁用 HTTPS 后，用户将无法使用 HTTPS 与 CDN 通信。请谨慎操作。

操作步骤 #

1. 登录 火山引擎内容分发网络控制台。
2. 在左侧导航栏，点击 域名管理。
3. 在 域名管理 页面，找到需要配置的域名，点击 管理。 页面上方的筛选条件和搜索框可以帮助您快速找到要配置的域名。
4. 在域名页面上，点击 HTTPS 配置 标签页。
5. 在页面右上方，点击 编辑配置。
6. 在 证书配置 下方，设置 状态 为关闭。