什么是Keyless无私钥驻留

传统的CDN HTTPS加速，需要将SSL证书和证书私钥文件均部署在CDN平台上。若您出于私钥安全管控的要求，不便将证书私钥部署到外部网络或云服务上，但又需要开启HTTPS安全加速连接，就可以选择使用全站加速提供的Keyless无私钥驻留服务。此时，您仅需在全站加速平台部署证书及证书链公开信息，证书私钥部署在KeyServer服务器上由您自行管理，全站加速节点和KeyServer服务器之间采用Keyless技术协同完成SSL握手通信过程，以此防止证书私钥泄露，提升证书秘钥管理安全性的同时实现HTTPS请求安全加速。全站加速Keyless无私钥驻留具备如下特性：

• 证书私钥集中管理，防止私钥泄露；
• 支持开启回源双向认证，保障私钥服务器安全；
• 请求收敛至父节点回源，支持HTTP2.0，提升传输效率并降低KeyServer负载；
• 支持证书类型：国际通用算法RSA / ECC；国产密码算法SM2签名 / SM2加密
• 若您是银行、证券、政务云等金融及政企客户，并需要严格管控证书私钥不外泄，我们推荐您使用全站加速Keyless服务。本文将为您介绍如何快速配置使用Keyless无私钥驻留服务。

温馨提示：Keyless无私钥驻是全站加速的增值服务，您需先联系网宿商务进行服务开通，并获取软件安装包。

快速配置说明

当您初次配置使用keyless服务时，您主要需执行如下3个操作步骤以实现Keyless无私钥驻留加速：

• 步骤1：KeyServer私钥服务器配置
• 步骤2：中转域名配置
• 步骤3：加速域名配置

步骤1：KeyServer私钥服务器配置

1.1 服务器环境准备

全站加速Keyless无私钥驻留服务需要您私有化部署并管理您的证书私钥，因此需要您自行准备、维护KeyServer服务器，并部署网宿keyless软件包，用于管理您的私钥。

1. 服务器：您需要提前准备KeyServer服务器，需要考虑服务器的负载均衡，例如准备多线机房，支持多服务器负载均衡等；
2. 网络环境：您需要提供访问KeyServer的服务器地址，可以是服务器外网出口IP，也可以是外网服务域名。其中：

• 若是出口IP：可以在全站加速平台上配置访问KeyServer服务器的回源负载均衡策略。稍后我们会在本文中转域名配置章节为您介绍。
• 若是服务域名：需要申请一个可在公网解析访问的服务域名，域名申请完成后配置解析到KeyServer的服务器IP，此处可以在服务域名的云解析平台上配置DNS负载均衡解析策略。

3. 操作系统环境：Linux（CentOS 6.* 、7.；RedHat 6.，7.*）。
4. 硬件设备绑定核数：根据预估的keyserver最高并发数来评估设备需要绑定的核数。其中：

• keyServer最高并发数预估：①非国密请求：keyServer最高并发数 ≈ 访问CDN边缘的用户请求并发数；②国密请求：keyServer最高并发数 ≈ 访问CDN边缘的用户请求并发数 * 2 。
• 并发值及其绑定的硬件设备核数推荐：

并发区间（qps）	核数推荐
0< X ≤75	Y≥1核
75< X ≤250	Y≥2核
250< X ≤1500	Y≥4核
1500< X ≤4000	Y≥8核
4000 < X	Y≥ X / (4000/8)
备注	达到最高并发时，CPU预计跑满80%。X指的是最高并发值，Y指的是推荐的机器核数

5. 安装包准备：下载keyless软件安装包（请联系网宿技术支持获取）。keyless软件默认配置如下：

• 私钥服务器：nginx
• 默认设备绑定核数：7核（预计可承载的业务并发3500qps左右）
• https端口：443
• CDN和私钥服务器双线认证：默认关闭

1.2 配置与安装

若keyless软件默认配置可满足您的需求，您可直接执行此配置与安装过程。以下为您介绍如何快速安装。

1. 安装服务器RPM包。执行安装指令示例：rpm -ivh shark-keyless-2.1.0-1.d19kl.gm_keyless.el7.x86_64。操作成功反馈示例如下：

2. 放置证书私钥。将证书私钥文件（.key）放置至目录 /usr/local/shark-keyless/etc/ssl_key/。（私钥文件可以自行命名，支持同时放置4种类型证书私钥：RSA证书私钥（rsa.key）、ECC.证书私钥（ecc.key）、SM2签名证书私钥（sm2_sign.key）、SM2加密证书私钥（sm2_enc.key）默认情况下您防止RSA证书私钥即可，若您有国密Keyeless无私钥驻留需求，可另外放置SM2签名证书私钥和SM2加密证书私钥）。证书文件放置好后，进入ssl_key目录，执行查看指令 ll 确认是否放置成功。操作成功反馈示例如下：

3. 启动私钥服务器。执行启动指令：service keyless restart。操作成功反馈：私钥服务器安装并启动成功！示例如下：

温馨提示：若您有其他配置需求，如需要自定义配置KeyServer机器核数、端口号、配置多域名、开启回KeyServer双向认证、开启回KeyServer采用HTTP2.0等，请联系网宿技术支持为您指导配置。

步骤2：中转域名配置

您需要先申请一个中转域名，将其配置到全站加速节点上，同时，将该域名的回源地址指向KeyServer服务器回源地址，并配置回源策略。以下为您介绍如何配置中转域名。

1. 添加中转域名。前往全站加速控制台【自助配置】页面，点击【新增域名】按钮，添加中转域名。如下：

2. 填写域名信息。在“域名”填写框下填写中转域名，在“回源IP/域名”填写框上填写KeyServer服务器地址，可以是KeyServer的服务器出口IP，也可以是KeyServer的服务器服务域名。示例如下：

3. 配置缓存规则。点击加速配置下的“自定义配置”按钮，再点击“缓存规则”的“新增”按钮，新增一条转存规则，配置“/keyless/”目录不缓存。示例如下：

4. 配置提交。上述配置完成后，点击页面下方的“提交”按钮，执行域名的新增部署操作。配置示例如下：

5. 回源策略（可选）。若您需要自定义配置回KeyServer源站的回源策略，例如高级源策略、回源HOST、回源端口号、开启回源双向认证、开启回源HTTP2.0等，您可以在域名列表下选择刚刚添加的中转域名，然后点击“批量换源”或者“配置修改”按钮，配置更灵活的回源策略，您也可以请联系网宿技术支持为您指导配置。

步骤3：加速域名配置

您需要为您的加速域名配置证书文件，并开启Keyless配置。以下为您介绍如何配置加速域名。

当前Keyless的加速域名配置暂不支持自助，请联系您的技术支持为您在后台进行如下配置：

1. 上传证书文件并关联加速域名。配置证书CRT文件和证书CA文件并部署到加速域名配置下，此处无需配置证书私钥文件，因此我们在KeyServer服务器配置这个步骤中，已经导入了私钥文件。
2. 开启Keyless配置。配置开启Keyless配置，并将Keyless服务地址配置指向中转域名地址。

证书到期维护

当您加速域名的证书到期时，网宿平台会给提前给您发送证书到期提醒。当前收到证书到期提醒时，请您提前为您的证书需求，并请务必先在KeyServer上新增私钥并reload，然后再更新CDN节点上的证书文件。操作步骤如下：

1. 先在keyserver的/usr/local/shark-keyless/etc/ssl_key/目录下放置新的私钥文件；
2. 执行reload指令service keyless reload 重新加载配置；
3. 在CDN上更新证书crt文件。