自动更新证书

CDN Pro支持为您自动续订证书并更新部署到CDN Pro节点，您无需担心CDN Pro的证书会到期。本文将为您介绍如何在CDN Pro上完成证书自动更新配置。

通过 Let’s Encrypt 自动更新证书

Let’s Encrypt (LE) 是一个向公众提供免费证书的证书颁发机构 (CA)。它提供了一套 API 和 CLI 工具来供公众用户自动申请和更新证书。如果您希望申请的证书包含一个或多个域名，您必须向 LE 证明您是这些域名的所有者。 LE 提供了多种方式（或“挑战”）来验证您是域名的所有者，只有验证通过之后，LE 才会为您颁发证书。

证书续订是CDN Pro向 LE 发起证书申请并获得新证书的过程。其中：

• CDN Pro 支持采用 “HTTP-01 挑战” 的方式来验证域名所有权，若要通过验证，您必须确保使用证书的所有域名均已将解析权交给CDN Pro（即添加CNAME记录指向边缘域名），否则来自 LE 的一些所有权验证请求将会失败，CDN Pro将无法帮您自动更新证书。
• 您需要创建一个初始证书来“初始化”证书续订流程。如果您不希望您当前的服务被中断，请确保此初始创建证书是合法有效的，这样您用户的浏览器就不会出现SSL握手错误。如果您没有可用证书来作为初始化证书，也可以使用 CDN Pro 来为目标域名生成自签名证书。自动续订过程时，CDN Pro将从初始证书上获取证书的内容来像 LE 发起证书续订申请，您无需再填写繁复的证书申请信息，例如通用名称(Common name)、多域名信息 (SAN)等。

CDN Pro会在每次证书到期前自动向 LE 发起证书续订申请，申请到证书后会自动创建新的证书版本并部署到生产环境中。

以下是设置证书自动更新的操作步骤：

1. 创建初始化证书。

2. 在创建证书表单页上，将“自动更新”配置项设置为 “Let’s Encrypt”。您也可以在证书创建完成后，再到证书详情页面进行设置。

3. 为需要进行HTTPS加速的域名创建加速项目。并在加速项目配置页面的【高级配置】页签下，将“证书续签自动化”配置项设置为“支持”。

注意：该加速项目中不能包含带有通配符的加速域名（泛域名），因为 LE 的 HTTP-01 挑战不支持泛域名。包含泛域名将导致证书自动续订失败。

4. 在加速项目配置页面的【TLS配置】页签下，将“TLS证书”或者“TLS附加证书”配置为初始化创建的证书（即步骤1创建的证书）。

5. 将加速项目和证书部署到生产环境。

6. 更新您域名的 DNS 解析，将此加速项目中的所有加速域名添加CNAME记录指向CDN Pro边缘域名。如果您当前还没有边缘域名, 请参阅创建调度域名。

7. 执行上述步骤后，如果初始证书在25天内即将失效，那么CDN Pro会在一小时内通过LE自动更新证书，更新完毕后您将收到有关续订成功或失败的通知。新证书的授权域名将包含使用该证书的所有域名（SAN）。