当防护网站的部署模式为“云模式”或“独享模式”且“对外协议”为“HTTPS”
时,您需要上传证书使证书绑定到防护网站。
● 如果您的证书即将到期,为了不影响网站的使用,建议您在到期前重新使用新的 证书,并在WAF中同步更新网站绑定的证书。
● 如果您需要更新网站绑定证书的信息,可以在WAF中为网站绑定新的证书。 书,只有单域名对应的证书,则只能在WAF中按照单域名的方式逐条添加域名进 行防护。
● WAF当前仅支持PEM格式证书。如果证书为非PEM格式,请参考步骤4将证书转 换为PEM格式,再上传。
● 更新证书前,请确认WAF和更新的证书属于同一帐号。
● WAF不支持证书过期时发送告警通知功能,您可以在“证书管理”界面查看证书 的过期时间。
系统影响
● 证书过期后,对源站的影响是覆灭性的,比主机崩溃和网站无法访问的影响还要 大,且会造成WAF的防护规则不生效,故建议您在证书到期前及时更新证书。
● 更新证书不会影响业务,更换过程中会使用旧证书,更新成功后,自动切为新证 书,新证书立刻生效。
● 同时更新后端服务器上的证书配置和WAF域名绑定证书的配置会影响网站访问业
用户指南 7 管理防护域名
操作步骤
步骤1 登录管理控制台。
步骤2 进入网站设置页面入口,如图7-8所示。
图7-8 网站设置入口
步骤3 在目标网站所在行的“防护网站”列中,单击目标网站,进入网站基本信息页面。
步骤4 在证书所在行的证书名称后,单击 ,在弹出的“证书更新”对话框中,上传新证书 或者选择已有证书。
● “更新方式”选择“上传证书”时,在对话框中输入“证书名称”,并将证书内 容和私钥内容粘贴到对应的文本框中,如图7-9所示。
成功导入的新证书,将添加到“证书管理”页面的证书列表中。有关证书管理的 操作,请参见上传证书。
说明
Web应用防火墙将对私钥进行加密保存,保障证书私钥的安全性。
图7-9 导入证书
WAF当前仅支持PEM格式证书。如果证书为非PEM格式,请参考表7-5在本地将证 书转换为PEM格式,再上传。
表7-5 证书转换命令
格式类型 转换方式
CER/CRT 将“cert.crt”证书文件直接重命名为“cert.pem”。
PFX – 提取私钥命令,以“cert.pfx”转换为“key.pem”为例。
openssl pkcs12 in cert.pfx nocerts out key.pem -nodes
– 提取证书命令,以“cert.pfx”转换为“cert.pem”为例。
openssl pkcs12 -in cert.pfx -nokeys -out cert.pem P7B 1. 证书转换,以“cert.p7b”转换为“cert.cer”为例。
openssl pkcs7 -print_certs -in cert.p7b -out cert.cer 2. 将“cert.cer”证书文件直接重命名为“cert.pem”。
DER – 提取私钥命令,以“privatekey.der”转换为
“privatekey.pem”为例。
openssl rsa -inform DER -outform PEM -in privatekey.der -out privatekey.pem
– 提取证书命令,以“cert.cer”转换为“cert.pem”为例。
openssl x509 -inform der -in cert.cer -out cert.pem
用户指南 7 管理防护域名
说明
– 执行openssl命令前,请确保本地已安装openssl。
– 如果本地为Windows操作系统,请进入“命令提示符”对话框后,再执行证书转换命 令。
● “更新方式”选择“选择已有证书”时,在“证书选择”的下拉框中选择已有的 证书。
图7-10 选择已有证书
说明
如果没有可使用的证书,可单击“购买证书”,购买新的证书并推送到WAF。WAF支持 SCM提供的所有证书类型,可参考SCM概述章节详细了解SSL证书。
步骤5 单击“确定”,证书更新完成。
----结束
相关操作
上传证书