秒懂邊緣云 | CDN基礎(chǔ)入門：HTTPS配置

上個章節(jié)中，我們已經(jīng)學(xué)習(xí)了如何添加CNAME解析來接入CDN加速。如果業(yè)務(wù)需要HTTPS訪問，我們還需要在解析前后配置HTTPS功能，如果域名有業(yè)務(wù)正在服務(wù)，推薦解析添加前進(jìn)行配置，完成灰度測試后再調(diào)整解析。

本章節(jié)我們共同學(xué)習(xí)「HTTPS相關(guān)功能及配置」，如果您的業(yè)務(wù)有相關(guān)訪問訴求，歡迎關(guān)注下文的實踐指導(dǎo)內(nèi)容。

1.已創(chuàng)建完成的CDN域名。

2.登錄您已購買SSL域名證書的廠商控制臺，如未購買，推薦通過 阿里云控制臺 - SSL證書（應(yīng)用安全）申請購買。

根據(jù)您的情況，我們將操作流程分為三個部分介紹，您可以參考流程圖根據(jù)自身情況選擇配置:

步驟一：暫無證書時購買流程（可選）

步驟二：外部證書導(dǎo)入流程（可選）

步驟三：開啟HTTPS安全加速

提示：在開啟HTTPS安全加速后，如果您還需要對其他HTTPS相關(guān)配置項進(jìn)行了解和配置，可以繼續(xù)參考下文中HTTPS功能介紹的內(nèi)容。

整體操作流程如下圖所示：

域名開啟HTTPS功能前，需要您準(zhǔn)備可用于綁定該域名的證書文件，如果您尚未申請證書，推薦您通過阿里云的證書管理服務(wù)購買SSL證書（即 SSL證書控制臺）。您可以根據(jù)自身需求在以下兩種服務(wù)中進(jìn)行選擇：

a. 選擇證書管理 - 購買證書，針對您的業(yè)務(wù)域名申請付費證書，適用于企業(yè)級、對安全等級要求較高的用戶。

b. 選擇 免費證書 - 創(chuàng)建證書 - 證書申請，適用于安全等級要求一般的用戶。

證書申請過程中，為了驗證域名所有權(quán)，您需要填寫申請表單內(nèi)的相關(guān)信息，并且完成DNS驗證或文件驗證用于確認(rèn)域名所有權(quán)。

詳細(xì)操作步驟您可以參考數(shù)字證書管理服務(wù)的產(chǎn)品文檔引導(dǎo)：

https://help.aliyun.com/document_detail/188316.htm

如果您已經(jīng)在其他平臺購買了證書，可以在 阿里云控制臺 - 數(shù)字證書管理服務(wù) 上傳外部證書。

您需要登錄外部證書后臺，針對需要導(dǎo)出的域名進(jìn)行證書下載，從第三方平臺導(dǎo)出證書到本地時，可以指定服務(wù)器類型，推薦您選擇 Nginx 類型 的證書文件下載以便于您后續(xù)上傳證書。

證書下載到本地后，壓縮包內(nèi)至少會有2個文件，一個.key后綴文件（私鑰）和 一個.pem 或 .crt后綴文件（公鑰），不同廠商導(dǎo)出文件時，可能會有細(xì)微區(qū)別，以實際導(dǎo)出情況為主。

常規(guī)情況下，您購買的證書為國際標(biāo)準(zhǔn)證書，上傳時選擇國際標(biāo)準(zhǔn)即可，證書名稱自定義填寫，僅用于在平臺上管理區(qū)分。我們需要將剛剛導(dǎo)出的公私鑰文件上傳到阿里云平臺，例如：

證書上傳完成/購買完成后，我們打開CDN控制臺的HTTPS配置頁面，開啟HTTPS安全加速功能后，證書來源選擇云盾（SSL）證書中心，點擊確定后即可開啟，操作示意圖如下：

證書名稱參考云盾控制臺對應(yīng)證書顯示的即可，證書名稱查看方式：

如果您確認(rèn)證書已經(jīng)簽發(fā)或上傳完成，但域名開啟HTTPS時無可選證書時，常見原因如下：

如果域名申請時，選擇的是單域名證書

如果域名申請時，選擇的是泛域名證書

HTTPS相關(guān)功能配置項為非必要的優(yōu)化功能，主要用于優(yōu)化傳輸效率或調(diào)整安全限制策略，您可以根據(jù)業(yè)務(wù)訴求判斷是否開啟。

HTTP/2也被稱為HTTP 2.0，相對于HTTP 1.1新增了多路復(fù)用、壓縮HTTP頭、劃分請求優(yōu)先級和服務(wù)端推送等特性，解決了在HTTP 1.1中一直存在的問題，優(yōu)化了請求性能，同時兼容了HTTP 1.1的語義。目前，Chrome、Edge、Safari和Firefox等瀏覽器已經(jīng)支持HTTP/2協(xié)議。

HTTP/2在業(yè)務(wù)中最大優(yōu)勢體現(xiàn)為提升了TCP多路復(fù)用效率，壓縮header提升傳輸效率和速度。劣勢體現(xiàn)為HTTP2在多路復(fù)用時，可能會由于底層窗口隊頭阻塞而導(dǎo)致更多上層HTTP請求受影響。

1. HTTP/2可以提升終端和節(jié)點間的效率，但在終端網(wǎng)絡(luò)環(huán)境不佳的情況下，終端耗時表現(xiàn)可能會劣化。

2. 如期望提升HTTP內(nèi)容的傳輸效率，建議開啟HTTP/2；如您業(yè)務(wù)中存在較多弱網(wǎng)用戶，建議關(guān)閉HTTP/2。

阿里云CDN支持配置HTTP和HTTPS強制跳轉(zhuǎn)

場景一：HTTP協(xié)議（不安全）請求重定向為HTTS協(xié)議（安全）

針對已經(jīng)配置了HTTPS證書的加速域名，可配置強制跳轉(zhuǎn)后，默認(rèn)通過301重定向方式，將客戶端到CDN節(jié)點的HTTP請求強制跳轉(zhuǎn)為HTTPS請求，HTTPS請求更安全。

場景二：HTTPS協(xié)議（安全）請求重定向為HTTP協(xié)議（不安全）

通過301重定向方式，將客戶端到CDN節(jié)點的HTTPS請求強制跳轉(zhuǎn)為HTTP請求，無需安全傳輸。

主要適用于業(yè)務(wù)中可能會觸發(fā)HTTP請求，但期望客戶端在請求中通過HTTPS協(xié)議傳輸數(shù)據(jù)的場景。

OCSP Stapling功能，可實現(xiàn)由CDN預(yù)先緩存在線證書驗證結(jié)果并下發(fā)給客戶端，無需瀏覽器直接向CA站點查詢證書狀態(tài)，從而減少用戶驗證時間。

啟用OCSP Stapling功能后，OCSP信息查詢的工作將由CDN服務(wù)器完成。CDN通過低頻次查詢，將查詢結(jié)果緩存到服務(wù)器中（默認(rèn)緩存時間60分鐘）。當(dāng)客戶端向服務(wù)器發(fā)起TLS握手請求時，CDN服務(wù)器將證書的OCSP信息和證書一起發(fā)送到客戶端，供用戶驗證，無需用戶再向數(shù)字證書認(rèn)證機構(gòu)（CA）發(fā)送查詢請求。極大地提高了TLS握手效率，節(jié)省了用戶驗證時間。

對TLS握手效率有優(yōu)化需求時，可以開啟該配置。

通過強制HTTPS跳轉(zhuǎn)時，仍存在一次HTTP請求的傳輸過程，如果您希望完全不使用HTTP協(xié)議進(jìn)行連接，并不允許客戶接受不安全的證書，您可以開啟HSTS功能，強制客戶端（例如：瀏覽器）使用HTTPS與CDN節(jié)點創(chuàng)建連接，拒絕所有的HTTP連接并阻止用戶接受不安全的SSL證書，降低用戶的第一次時訪問請求被惡意攔截的風(fēng)險。

適用于對安全有強需求，需要阻止客戶端發(fā)起HTTP連接，并要求客戶端校驗證書安全性的場景，可以開啟該配置。

阿里云CDN提供TLS版本控制功能，您可以根據(jù)不同域名的需求，靈活地配置TLS協(xié)議版本，低版本的TLS協(xié)議將提供對老版本瀏覽器的支持，但是協(xié)議的安全性相對更差一些，高版本的TLS協(xié)議將提供更高的安全性，但是對老版本瀏覽器的兼容性相對差一些。

通常無需修改，如果您需要適配某些瀏覽器，或者增強TLS限制時，可以根據(jù)版本需要進(jìn)行調(diào)整。

上傳/購買的證書無法用于該加速域名的綁定，普遍為加速域名和證書綁定域名不匹配導(dǎo)致，詳情可參考本文 配置接入 中 開啟HTTPS安全加速 相關(guān)解釋。

2. 已經(jīng)配置了HTTPS，為什么客戶端還是HTTP訪問？

客戶端是以HTTP訪問還是HTTPS訪問完全是客戶端的行為，如果您希望客戶端強制使用HTTPS訪問，可以在CDN上開啟強制HTTPS跳轉(zhuǎn)，或業(yè)務(wù)代碼中引用鏈接時使用HTTPS協(xié)議。

3. 部分瀏覽器訪問HTTPS異常，但訪問HTTP正常可能是什么原因？

證書鏈?zhǔn)怯筛C書、中間證書、用戶證書組成。如果您上傳的公鑰文件中只有用戶證書，部分瀏覽器無法校驗證書合法性導(dǎo)致報錯或加載異常（例如提示證書鏈不完整/無法獲取中間證書/無法校驗根證書等）。您可以通過證書鏈補全工具，對公鑰的證書鏈進(jìn)行補全后，重新上傳并更新域名的證書信息即可。

4. 源站已經(jīng)配置了HTTPS，CDN上還需要配置HTTPS嗎？

HTTPS是客戶端和服務(wù)端的交互，未使用CDN之前，是客戶端直接和源站交互，因此源站需要配置HTTPS。使用CDN之后，是客戶端和CDN交互，如果您需要以HTTPS的形式訪問CDN，則必須在CDN上配置HTTPS證書。

5. 源站的HTTPS證書更新了，CDN上需要同步更新嗎？

不需要。源站的HTTPS證書更新后不會影響CDN上的HTTPS證書，當(dāng)您在CDN上配置的HTTPS證書將要到期或者已經(jīng)到期時，您才需要在CDN上更新HTTPS證書。

6.開啟CDN的HTTPS加速后會額外收費嗎？

會額外收費。開啟CDN的HTTPS加速，實際開啟的是客戶端到CDN邊緣節(jié)點這段鏈路的HTTPS。因為SSL協(xié)議的握手和內(nèi)容解密都需要計算，所以會增加CDN服務(wù)器的CPU資源損耗，但不會增加您源站服務(wù)器的資源損耗，因為CDN邊緣節(jié)點到您源站這段鏈路使用的仍然是HTTP協(xié)議，不會額外增加您源站的損耗。

至此，「HTTPS的配置及相關(guān)功能」介紹內(nèi)容已經(jīng)結(jié)束。如果您在步驟一的灰度驗證中訪問時因HTTPS問題未達(dá)到預(yù)期，可在配置調(diào)整達(dá)到預(yù)期后再進(jìn)行驗證。

在下個章節(jié)中。我們將共同學(xué)習(xí)「CDN緩存的相關(guān)功能及配置」，合理地配置緩存能夠提高您業(yè)務(wù)中CDN的訪問效率，歡迎您繼續(xù)關(guān)注本系列的實踐指導(dǎo)。