导航
访问双向认证
最近更新时间:2025.11.25 18:04:42首次发布时间:2024.05.12 11:48:35
文档反馈
问问助手本文档将指导您如何在 CDN 中为域名配置访问双向认证特性。该特性适用于需要严格身份验证的场景,如企业内部应用,使 CDN 仅允许携带特定证书的客户端访问 CDN,可进一步提高客户端与 CDN 之间的通信安全。
该特性启用后,当客户端与 CDN 建立 SSL 连接时,CDN 会校验客户端证书。如果客户端证书并非由您配置的根 CA 证书签发,CDN 会拒绝请求。
启用该特性时,您需要在 CDN 中配置根 CA 证书。配置模式支持双证书。要配置双证书,请 提交工单。
说明
在双证书配置模式下,您可以配置两本使用不同密钥算法的根 CA 证书。您配置的双证书必须满足以下所有条件:
- 两本证书不能都是国密证书。
- 两本证书不能具有相同的指纹。
前提条件
要启用 "访问双向认证",以下条件必须全部满足:
- 您的加速域名已 启用了 HTTPS 访问。
- 您已上传了根 CA 证书到 CDN 托管。关于上传根 CA 证书的步骤,参见 内容分发网络证书托管。
操作步骤
- 登录 火山引擎内容分发网络控制台。
- 在左侧导航栏,点击 域名管理。
- 在 域名管理 页面,找到需要配置的域名,点击 管理。
- 定位 访问双向认证 模块。
- 如果您使用的是旧版域名管理页面,点击 编辑配置,然后在 HTTPS 配置 标签页中定位 访问双向认证 模块。
- 如果您使用的是新版域名管理页面,点击 编辑域名。在页面左侧的树状配置项列表中,定位 基础配置 > HTTPS 配置 > 访问双向认证。如果该模块置灰,点击模块右边的 + 。
关于新旧版域名管理页面的区别,参见 新版域名配置。
- 在 访问双向认证 模块中,设置 状态 为启用。
- 如果您需要配置两本根 CA 证书,请设置 配置模式 为 双证书。
- 在 CA 证书 列表中选择相应的根 CA 证书。
- 设置完成后, 点击 提交编辑。
注意
以下任意情况都会导致配置报错:
- 加速域名未启用 HTTPS。
- "访问双向认证" 的证书配置模式与服务器证书的配置模式不同。例如,"访问双向认证" 的配置模式是双证书,而服务器证书的配置模式是单证书。
- 证书标准不包含服务器证书配置的证书标准。例如,您在 "访问双向认证" 中配置了证书都是 RSA 证书,而配置的服务器证书分别是 RSA 证书和 ECC 证书。
在以下情况下,客户端证书校验会失败:
- 您配置的根 CA 证书的证书链深度超过三级。例如,证书链是
rootCA > iCA1 > iCA2 > 客户端证书。这里,iCA1 和 iCA2 都是中间 CA。
