秒懂邊緣云 | CDN基礎(chǔ)入門：HTTPS配置

上個(gè)章節(jié)中，我們已經(jīng)學(xué)習(xí)了如何添加CNAME解析來(lái)接入CDN加速。如果業(yè)務(wù)需要HTTPS訪問(wèn)，我們還需要在解析前后配置HTTPS功能，如果域名有業(yè)務(wù)正在服務(wù)，推薦解析添加前進(jìn)行配置，完成灰度測(cè)試后再調(diào)整解析。

本章節(jié)我們共同學(xué)習(xí)「HTTPS相關(guān)功能及配置」，如果您的業(yè)務(wù)有相關(guān)訪問(wèn)訴求，歡迎關(guān)注下文的實(shí)踐指導(dǎo)內(nèi)容。

1.已創(chuàng)建完成的CDN域名。

2.登錄您已購(gòu)買SSL域名證書(shū)的廠商控制臺(tái)，如未購(gòu)買，推薦通過(guò) 阿里云控制臺(tái) - SSL證書(shū)（應(yīng)用安全）申請(qǐng)購(gòu)買。

根據(jù)您的情況，我們將操作流程分為三個(gè)部分介紹，您可以參考流程圖根據(jù)自身情況選擇配置:

步驟一：暫無(wú)證書(shū)時(shí)購(gòu)買流程（可選）

步驟二：外部證書(shū)導(dǎo)入流程（可選）

步驟三：開(kāi)啟HTTPS安全加速

提示：在開(kāi)啟HTTPS安全加速后，如果您還需要對(duì)其他HTTPS相關(guān)配置項(xiàng)進(jìn)行了解和配置，可以繼續(xù)參考下文中HTTPS功能介紹的內(nèi)容。

整體操作流程如下圖所示：

域名開(kāi)啟HTTPS功能前，需要您準(zhǔn)備可用于綁定該域名的證書(shū)文件，如果您尚未申請(qǐng)證書(shū)，推薦您通過(guò)阿里云的證書(shū)管理服務(wù)購(gòu)買SSL證書(shū)（即 SSL證書(shū)控制臺(tái)）。您可以根據(jù)自身需求在以下兩種服務(wù)中進(jìn)行選擇：

a. 選擇證書(shū)管理 - 購(gòu)買證書(shū)，針對(duì)您的業(yè)務(wù)域名申請(qǐng)付費(fèi)證書(shū)，適用于企業(yè)級(jí)、對(duì)安全等級(jí)要求較高的用戶。

b. 選擇 免費(fèi)證書(shū) - 創(chuàng)建證書(shū) - 證書(shū)申請(qǐng)，適用于安全等級(jí)要求一般的用戶。

證書(shū)申請(qǐng)過(guò)程中，為了驗(yàn)證域名所有權(quán)，您需要填寫(xiě)申請(qǐng)表單內(nèi)的相關(guān)信息，并且完成DNS驗(yàn)證或文件驗(yàn)證用于確認(rèn)域名所有權(quán)。

詳細(xì)操作步驟您可以參考數(shù)字證書(shū)管理服務(wù)的產(chǎn)品文檔引導(dǎo)：

https://help.aliyun.com/document_detail/188316.htm

如果您已經(jīng)在其他平臺(tái)購(gòu)買了證書(shū)，可以在 阿里云控制臺(tái) - 數(shù)字證書(shū)管理服務(wù) 上傳外部證書(shū)。

您需要登錄外部證書(shū)后臺(tái)，針對(duì)需要導(dǎo)出的域名進(jìn)行證書(shū)下載，從第三方平臺(tái)導(dǎo)出證書(shū)到本地時(shí)，可以指定服務(wù)器類型，推薦您選擇 Nginx 類型 的證書(shū)文件下載以便于您后續(xù)上傳證書(shū)。

證書(shū)下載到本地后，壓縮包內(nèi)至少會(huì)有2個(gè)文件，一個(gè).key后綴文件（私鑰）和 一個(gè).pem 或 .crt后綴文件（公鑰），不同廠商導(dǎo)出文件時(shí)，可能會(huì)有細(xì)微區(qū)別，以實(shí)際導(dǎo)出情況為主。

常規(guī)情況下，您購(gòu)買的證書(shū)為國(guó)際標(biāo)準(zhǔn)證書(shū)，上傳時(shí)選擇國(guó)際標(biāo)準(zhǔn)即可，證書(shū)名稱自定義填寫(xiě)，僅用于在平臺(tái)上管理區(qū)分。我們需要將剛剛導(dǎo)出的公私鑰文件上傳到阿里云平臺(tái)，例如：

證書(shū)上傳完成/購(gòu)買完成后，我們打開(kāi)CDN控制臺(tái)的HTTPS配置頁(yè)面，開(kāi)啟HTTPS安全加速功能后，證書(shū)來(lái)源選擇云盾（SSL）證書(shū)中心，點(diǎn)擊確定后即可開(kāi)啟，操作示意圖如下：

證書(shū)名稱參考云盾控制臺(tái)對(duì)應(yīng)證書(shū)顯示的即可，證書(shū)名稱查看方式：

如果您確認(rèn)證書(shū)已經(jīng)簽發(fā)或上傳完成，但域名開(kāi)啟HTTPS時(shí)無(wú)可選證書(shū)時(shí)，常見(jiàn)原因如下：

如果域名申請(qǐng)時(shí)，選擇的是單域名證書(shū)

如果域名申請(qǐng)時(shí)，選擇的是泛域名證書(shū)

HTTPS相關(guān)功能配置項(xiàng)為非必要的優(yōu)化功能，主要用于優(yōu)化傳輸效率或調(diào)整安全限制策略，您可以根據(jù)業(yè)務(wù)訴求判斷是否開(kāi)啟。

HTTP/2也被稱為HTTP 2.0，相對(duì)于HTTP 1.1新增了多路復(fù)用、壓縮HTTP頭、劃分請(qǐng)求優(yōu)先級(jí)和服務(wù)端推送等特性，解決了在HTTP 1.1中一直存在的問(wèn)題，優(yōu)化了請(qǐng)求性能，同時(shí)兼容了HTTP 1.1的語(yǔ)義。目前，Chrome、Edge、Safari和Firefox等瀏覽器已經(jīng)支持HTTP/2協(xié)議。

HTTP/2在業(yè)務(wù)中最大優(yōu)勢(shì)體現(xiàn)為提升了TCP多路復(fù)用效率，壓縮header提升傳輸效率和速度。劣勢(shì)體現(xiàn)為HTTP2在多路復(fù)用時(shí)，可能會(huì)由于底層窗口隊(duì)頭阻塞而導(dǎo)致更多上層HTTP請(qǐng)求受影響。

1. HTTP/2可以提升終端和節(jié)點(diǎn)間的效率，但在終端網(wǎng)絡(luò)環(huán)境不佳的情況下，終端耗時(shí)表現(xiàn)可能會(huì)劣化。

2. 如期望提升HTTP內(nèi)容的傳輸效率，建議開(kāi)啟HTTP/2；如您業(yè)務(wù)中存在較多弱網(wǎng)用戶，建議關(guān)閉HTTP/2。

阿里云CDN支持配置HTTP和HTTPS強(qiáng)制跳轉(zhuǎn)

場(chǎng)景一：HTTP協(xié)議（不安全）請(qǐng)求重定向?yàn)镠TTS協(xié)議（安全）

針對(duì)已經(jīng)配置了HTTPS證書(shū)的加速域名，可配置強(qiáng)制跳轉(zhuǎn)后，默認(rèn)通過(guò)301重定向方式，將客戶端到CDN節(jié)點(diǎn)的HTTP請(qǐng)求強(qiáng)制跳轉(zhuǎn)為HTTPS請(qǐng)求，HTTPS請(qǐng)求更安全。

場(chǎng)景二：HTTPS協(xié)議（安全）請(qǐng)求重定向?yàn)镠TTP協(xié)議（不安全）

通過(guò)301重定向方式，將客戶端到CDN節(jié)點(diǎn)的HTTPS請(qǐng)求強(qiáng)制跳轉(zhuǎn)為HTTP請(qǐng)求，無(wú)需安全傳輸。

主要適用于業(yè)務(wù)中可能會(huì)觸發(fā)HTTP請(qǐng)求，但期望客戶端在請(qǐng)求中通過(guò)HTTPS協(xié)議傳輸數(shù)據(jù)的場(chǎng)景。

OCSP Stapling功能，可實(shí)現(xiàn)由CDN預(yù)先緩存在線證書(shū)驗(yàn)證結(jié)果并下發(fā)給客戶端，無(wú)需瀏覽器直接向CA站點(diǎn)查詢證書(shū)狀態(tài)，從而減少用戶驗(yàn)證時(shí)間。

啟用OCSP Stapling功能后，OCSP信息查詢的工作將由CDN服務(wù)器完成。CDN通過(guò)低頻次查詢，將查詢結(jié)果緩存到服務(wù)器中（默認(rèn)緩存時(shí)間60分鐘）。當(dāng)客戶端向服務(wù)器發(fā)起TLS握手請(qǐng)求時(shí)，CDN服務(wù)器將證書(shū)的OCSP信息和證書(shū)一起發(fā)送到客戶端，供用戶驗(yàn)證，無(wú)需用戶再向數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)（CA）發(fā)送查詢請(qǐng)求。極大地提高了TLS握手效率，節(jié)省了用戶驗(yàn)證時(shí)間。

對(duì)TLS握手效率有優(yōu)化需求時(shí)，可以開(kāi)啟該配置。

通過(guò)強(qiáng)制HTTPS跳轉(zhuǎn)時(shí)，仍存在一次HTTP請(qǐng)求的傳輸過(guò)程，如果您希望完全不使用HTTP協(xié)議進(jìn)行連接，并不允許客戶接受不安全的證書(shū)，您可以開(kāi)啟HSTS功能，強(qiáng)制客戶端（例如：瀏覽器）使用HTTPS與CDN節(jié)點(diǎn)創(chuàng)建連接，拒絕所有的HTTP連接并阻止用戶接受不安全的SSL證書(shū)，降低用戶的第一次時(shí)訪問(wèn)請(qǐng)求被惡意攔截的風(fēng)險(xiǎn)。

適用于對(duì)安全有強(qiáng)需求，需要阻止客戶端發(fā)起HTTP連接，并要求客戶端校驗(yàn)證書(shū)安全性的場(chǎng)景，可以開(kāi)啟該配置。

阿里云CDN提供TLS版本控制功能，您可以根據(jù)不同域名的需求，靈活地配置TLS協(xié)議版本，低版本的TLS協(xié)議將提供對(duì)老版本瀏覽器的支持，但是協(xié)議的安全性相對(duì)更差一些，高版本的TLS協(xié)議將提供更高的安全性，但是對(duì)老版本瀏覽器的兼容性相對(duì)差一些。

通常無(wú)需修改，如果您需要適配某些瀏覽器，或者增強(qiáng)TLS限制時(shí)，可以根據(jù)版本需要進(jìn)行調(diào)整。

上傳/購(gòu)買的證書(shū)無(wú)法用于該加速域名的綁定，普遍為加速域名和證書(shū)綁定域名不匹配導(dǎo)致，詳情可參考本文 配置接入 中 開(kāi)啟HTTPS安全加速 相關(guān)解釋。

2. 已經(jīng)配置了HTTPS，為什么客戶端還是HTTP訪問(wèn)？

客戶端是以HTTP訪問(wèn)還是HTTPS訪問(wèn)完全是客戶端的行為，如果您希望客戶端強(qiáng)制使用HTTPS訪問(wèn)，可以在CDN上開(kāi)啟強(qiáng)制HTTPS跳轉(zhuǎn)，或業(yè)務(wù)代碼中引用鏈接時(shí)使用HTTPS協(xié)議。

3. 部分瀏覽器訪問(wèn)HTTPS異常，但訪問(wèn)HTTP正常可能是什么原因？

證書(shū)鏈?zhǔn)怯筛C書(shū)、中間證書(shū)、用戶證書(shū)組成。如果您上傳的公鑰文件中只有用戶證書(shū)，部分瀏覽器無(wú)法校驗(yàn)證書(shū)合法性導(dǎo)致報(bào)錯(cuò)或加載異常（例如提示證書(shū)鏈不完整/無(wú)法獲取中間證書(shū)/無(wú)法校驗(yàn)根證書(shū)等）。您可以通過(guò)證書(shū)鏈補(bǔ)全工具，對(duì)公鑰的證書(shū)鏈進(jìn)行補(bǔ)全后，重新上傳并更新域名的證書(shū)信息即可。

4. 源站已經(jīng)配置了HTTPS，CDN上還需要配置HTTPS嗎？

HTTPS是客戶端和服務(wù)端的交互，未使用CDN之前，是客戶端直接和源站交互，因此源站需要配置HTTPS。使用CDN之后，是客戶端和CDN交互，如果您需要以HTTPS的形式訪問(wèn)CDN，則必須在CDN上配置HTTPS證書(shū)。

5. 源站的HTTPS證書(shū)更新了，CDN上需要同步更新嗎？

不需要。源站的HTTPS證書(shū)更新后不會(huì)影響CDN上的HTTPS證書(shū)，當(dāng)您在CDN上配置的HTTPS證書(shū)將要到期或者已經(jīng)到期時(shí)，您才需要在CDN上更新HTTPS證書(shū)。

6.開(kāi)啟CDN的HTTPS加速后會(huì)額外收費(fèi)嗎？

會(huì)額外收費(fèi)。開(kāi)啟CDN的HTTPS加速，實(shí)際開(kāi)啟的是客戶端到CDN邊緣節(jié)點(diǎn)這段鏈路的HTTPS。因?yàn)镾SL協(xié)議的握手和內(nèi)容解密都需要計(jì)算，所以會(huì)增加CDN服務(wù)器的CPU資源損耗，但不會(huì)增加您源站服務(wù)器的資源損耗，因?yàn)镃DN邊緣節(jié)點(diǎn)到您源站這段鏈路使用的仍然是HTTP協(xié)議，不會(huì)額外增加您源站的損耗。

至此，「HTTPS的配置及相關(guān)功能」介紹內(nèi)容已經(jīng)結(jié)束。如果您在步驟一的灰度驗(yàn)證中訪問(wèn)時(shí)因HTTPS問(wèn)題未達(dá)到預(yù)期，可在配置調(diào)整達(dá)到預(yù)期后再進(jìn)行驗(yàn)證。

在下個(gè)章節(jié)中。我們將共同學(xué)習(xí)「CDN緩存的相關(guān)功能及配置」，合理地配置緩存能夠提高您業(yè)務(wù)中CDN的訪問(wèn)效率，歡迎您繼續(xù)關(guān)注本系列的實(shí)踐指導(dǎo)。