在您对加速域名启用了 HTTPS 后,用户与 CDN 之间的数据传输就被加密了。同时,HTTPS 提供了用户浏览器对于其访问的站点的身份认证,也就是 HTTPS 单向认证。在一些对于安全要求更高的场景,您可能还需要对访问内容分发网络的用户身份进行认证,这就是 HTTPS 双向认证。好比公司的办公大楼,只有公司员工才能进入。
本文档介绍了火山引擎内容分发网络提供的 "访问双向认证" 功能。
说明
要使用该功能,请 提交工单。
双向认证过程
在 "访问双向认证" 的场景下,内容分发网络上托管着一个 CA 证书。在 SSL 建连时,内容分发网络会要求客户端发送其 SSL 证书。在收到该 SSL 证书后,内容分发网络会使用该 CA 证书验证该 SSL 证书。如果该 SSL 证书未通过验证,内容分发网络会拒绝用户请求。
在您启用 "访问双向认证" 后,您需要上传一本 CA 证书,用于验证客户端的 SSL 证书。
关于 "访问双向认证" 的流程,参见 HTTPS 单向认证和 HTTPS 双向认证的流程。
说明
在 "访问双向认证" 中,您选择的 CA 证书是托管在内容分发网络,不是在火山引擎证书中心的。
双证书
内容分发网络提供了双证书的配置能力,使您可以为一个加速域名配置使用两本使用不同加密算法的 CA 证书。
要使用双证书功能,请 提交工单。
如果您启用了 双证书 的功能,配置模式 的可选项中会出现 双证书。如果您设置 配置模式 为 双证书,您可以选择两本 CA 证书。
说明
需要留意的是:
您选择的两本证书不能都是国密证书。
两本证书不能是相同的。如果两本证书的指纹相同,这两本证书就被认为是相同的证书。 在您上传证书时,有一个是否允许上传重复证书的开关。参见 上传证书。两本证书不能都是国密证书。
前提条件
要启用 "访问双向认证",您的加速域名必须满足以下条件:
已经配置了 SSL 证书。
已上传了 CA 证书。关于上传 CA 证书,参见 内容分发网络证书托管。
操作步骤
登录 火山引擎内容分发网络控制台。
在左侧导航栏,点击 域名管理。
在 域名管理 页面,找到需要配置的域名,点击 管理。 页面上方的筛选条件和搜索框可以帮助您快速找到要配置的域名。
在域名页面上,点击 HTTPS 配置 标签页。
在页面右上方,点击 编辑配置。
在 访问双向认证 下方,设置 状态 为 开启。
如果您要指定两本 CA 证书,设置 配置模式 为 双证书。
在 CA 证书 列表中选择相应的 CA 证书。
设置完成后, 在页面右上角点击 提交编辑。
说明
需要留意的是,您选择的 CA 证书必须满足 预检查的要求。不然变更在提交时会报错。
更多信息
HTTPS 单向认证和 HTTPS 双向认证的流程
说明
以下步骤展示了 HTTPS 单向认证和 HTTPS 双向认证的流程。HTTPS 双向认证的特定步骤以粗体文本显示。
客户端发起 HTTPS 建连请求,也就是向服务器发送 Client Hello 报文。
服务器响应 Server Hello 报文。报文中包含服务器的 SSL 证书。
客户端检查该 SSL 证书的有效性:
如果该 SSL 证书是有效的,继续步骤 4。
如果未通过检查,客户端发出警告,由用户决定是否继续。
客户端从该 SSL证书中获取该 SSL 证书的公钥。
客户端将其 SSL 证书发送给服务器。
服务器检查该 SSL 证书的有效性:
如果该 SSL 证书通过了检查,继续步骤 7。
如果未通过检查,服务器拒绝用户请求。
服务器从该 SSL证书中获取其公钥。
客户端将其支持的 TLS 加密套件以明文方式发送给服务器。
服务器选择一个 TLS 加密套件,使用客户端公钥将该信息加密后,发送给客户端。
客户端 使用其私钥解密该信息, 获得服务器选择的 TLS 加密套件。
客户端使用该 TLS 加密套件生成一个随机字符串,使用服务器的公钥加密后,发送给服务器。
服务器使用其私钥解密该字符串。
之后,客户端和服务器使用该字符串作为密钥对传输的数据进行加密。