启用 HTTPS

本文档介绍如何在火山引擎内容分发网络中对加速域名启用 HTTPS。

前提条件

要对一个加速域名启用 HTTPS，您必须上传一个证书，该证书是颁发给该加速域名的。您可以在火山引擎证书中心购买证书。您也可以在其他平台购买证书，导出 PEM 格式的证书文件，然后在内容分发网络中上传证书。

操作步骤

配置 HTTPS 证书后，用户和内容分发网络之间的通信是加密的，可保障数据访问的安全。开启 HTTPS 的同时，内容分发网络会默认启用 HTTP/2 来提升 Web 性能，降低网络延迟。同时内容分发网络也会默认开启 HTTP 和 HTTPS 共享缓存来减少回源，提升缓存命中率。

步骤 1： 准备工作

1. 登录 火山引擎内容分发网络控制台。
2. 在左侧导航栏，点击 域名管理。
3. 在 域名管理 页面，找到需要配置的域名，点击 管理。
   页面上方的筛选条件和搜索框可以帮助您快速找到要配置的域名。
4. 在域名页面上，点击 HTTPS 配置 标签页。
5. 在页面右上方，点击 编辑配置。
6. 在 HTTPS 信息 下方，设置 HTTPS 证书 为 开启。

步骤 2：授权内容分发网络访问证书中心

要启用加速域名的 HTTPS 功能，您必须指定一个颁发给该域名的证书。同时该证书必须是托管在火山引擎证书中心的。步骤 3 会介绍如何准备您的证书。

由于证书中心是火山引擎的另一个服务，要使内容分发网络从证书中心获取您的证书，需要授权内容分发网络访问证书中心。

1. 在 HTTPS 配置 标签页上，点击 授权。
2. 在 跨服务访问请求 页面，点击 授权。
   

步骤 3：准备证书

该步骤指定您的加速域名需要关联的证书。在您关联证书后，加速域名的 HTTPS 功能就启用了。可以关联的证书是来自火山引擎证书中心的。

在关联证书时，您可能会有以下情况：

• 您已经在证书中心购买了证书或者上传了证书。此时，您可以按照以下步骤关联证书：
  1. 在 HTTPS 配置 标签页上，设置 匹配证书 为您需要关联的证书。
  2. 在页面右上方，点击 提交编辑。
• 您还没有证书。此时，您可以在火山引擎证书中心购买证书。购买后，您需要按照第一种情况的描述来关联证书。
• 您在其他证书服务商处购买了证书。此时，您需要在证书服务商处导出证书，然后在证书中心或者内容分发网络控制台上传证书。证书上传后，您需要按照第一种情况的描述来关联证书。

上传证书

以下步骤演示如何在内容分发网络控制台上传证书。证书中心上传证书的步骤类似。

1. 在 HTTPS 配置 标签页上，点击 上传证书。
   

2. 在 上传证书 页面，选择证书的上传方式。
   

3. 指定证书。

   • 如果上传方式是 手动输入，需要输入 PEM 格式的公钥内容和 PEM 格式的私钥内容。
   • 如果上传方式是 文件上传，需要指定 PEM 格式公钥和 PEM 格式的私钥文件。

     说明

     • 公钥文件的扩展名是 .crt 或 .pem。私钥文件的扩展名是 .key 或 .pem。
     • 公钥必须包含完整的证书链。私钥必须是未加密的。

4. 添加证书备注，然后点击 确定。
   此时，您上传的证书就出现在证书列表里面了。
   

更换加速域名使用的证书

如果您之后上传了其他证书，该加速域名所关联的证书不会自动更改。如果您需要更改关联该证书，可以在 HTTPS 配置 标签页上选择您刚上传的证书。

证书链补齐

在您关联证书时，可能会遇到以下错误：

• 域名配置失败，证书链不完整。

错误原因

该错误是由于以下原因：

• 您在证书中心或者内容分发网络上传的证书没有完整的证书链。

解决方法

要解决该问题，遵循以下步骤：

1. 补齐证书文件中的证书链。
   在您补齐证书链后，证书文件应该包含多个由 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 包裹的内容块。
2. 在内容分发网络中，上传更新后的证书。
3. 在内容分发网络中，将更新后的证书与加速域名关联。

要补齐证书链，有以下两种方法。

方法一：使用火山引擎证书链补齐工具
您可以使用火山引擎提供的证书链修复工具来补齐证书文件中的证书链。

方法二：手动补齐证书链

1. 在从证书供应商处下载的证书文件中，检查除了域名证书文件，是否还存在中间证书文件。
   中间证书的文件名一般是 ca_bundle.crt 或者 chain.crt。如果您不确定文件名，可以联系证书服务商。
2. 打开域名证书文件和中间证书文件。
3. 将中间证书文件的内容追加到域名证书文件的末尾。
4. 保存域名证书文件。