文档中心 CDN Pro 自动更新证书

自动更新证书

更新时间:2022-06-06 18:15:52

自动更新证书

CDN Pro支持为您自动续订证书并更新部署到CDN Pro节点,您无需担心CDN Pro的证书会到期。本文将为您介绍如何在CDN Pro上完成证书自动更新配置。

通过 Let’s Encrypt 自动更新证书

Let’s Encrypt (LE) 是一个向公众提供免费证书的证书颁发机构 (CA)。它提供了一套 API 和 CLI 工具来供公众用户自动申请和更新证书。如果您希望申请的证书包含一个或多个域名,您必须向 LE 证明您是这些域名的所有者。 LE 提供了多种方式(或“挑战”)来验证您是域名的所有者,只有验证通过之后,LE 才会为您颁发证书。

证书续订是CDN Pro向 LE 发起证书申请并获得新证书的过程。其中:

  • CDN Pro 支持采用 “HTTP-01 挑战” 的方式来验证域名所有权,若要通过验证,您必须确保使用证书的所有域名均已将解析权交给CDN Pro(即添加CNAME记录指向边缘域名),否则来自 LE 的一些所有权验证请求将会失败,CDN Pro将无法帮您自动更新证书。
  • 您需要创建一个初始证书来“初始化”证书续订流程。如果您不希望您当前的服务被中断,请确保此初始创建证书是合法有效的,这样您用户的浏览器就不会出现SSL握手错误。如果您没有可用证书来作为初始化证书,也可以使用 CDN Pro 来为目标域名生成自签名证书。自动续订过程时,CDN Pro将从初始证书上获取证书的内容来像 LE 发起证书续订申请,您无需再填写繁复的证书申请信息,例如通用名称(Common name)、多域名信息 (SAN)等。

CDN Pro会在每次证书到期前自动向 LE 发起证书续订申请,申请到证书后会自动创建新的证书版本并部署到生产环境中。

以下是设置证书自动更新的操作步骤:

  1. 创建初始化证书

  2. 创建证书表单页上,将“自动更新”配置项设置为 “Let’s Encrypt”。您也可以在证书创建完成后,再到证书详情页面进行设置。

G20峰会创网络安保新标杆 网宿安全保障能力再获认可

  1. 为需要进行HTTPS加速的域名创建加速项目。并在加速项目配置页面的【高级配置】页签下,将“证书续签自动化”配置项设置为“支持”。

G20峰会创网络安保新标杆 网宿安全保障能力再获认可

注意:该加速项目中不能包含带有通配符的加速域名(泛域名),因为 LE 的 HTTP-01 挑战不支持泛域名。包含泛域名将导致证书自动续订失败。

  1. 在加速项目配置页面的【TLS配置】页签下,将“TLS证书”或者“TLS附加证书”配置为初始化创建的证书(即步骤1创建的证书)。

G20峰会创网络安保新标杆 网宿安全保障能力再获认可

  1. 将加速项目和证书部署到生产环境。

  2. 更新您域名的 DNS 解析,将此加速项目中的所有加速域名添加CNAME记录指向CDN Pro边缘域名。如果您当前还没有边缘域名, 请参阅创建调度域名

  3. 执行上述步骤后,如果初始证书在25天内即将失效,那么CDN Pro会在一小时内通过LE自动更新证书,更新完毕后您将收到有关续订成功或失败的通知。新证书的授权域名将包含使用该证书的所有域名(SAN)。

本篇文档内容对您是否有帮助?
有帮助
我要反馈
提交成功!非常感谢您的反馈,我们会继续努力做到更好!