证书推送成功后,您还需要在WAF中,勾选HTTPS协议,并选择已推送的证书。
该任务指导用户如何在WAF中进行配置。
操作指引:
● 添加防护域名:如果您的域名未在WAF中添加,则请参见本部分内容进行操作。
更多详细配置可参见WAF手册中的添加防护域名。
● 更新证书:如果您的域名已在WAF中添加成功(已添加的域名与证书绑定的域名
一一对应),且“对外协议”使用了HTTPS协议,则可参见本部分内容将证书更 换成已推送的证书。
添加防护域名
如果您未在Web应用防火墙中添加您的域名,则请参见本部分内容进行操作。
前提条件
● 已获取管理控制台的帐号和密码。
● 已完成证书推送。
● 已购买Web应用防火墙服务。如未购买,则请参见购买Web应用防火墙进行购 买。
操作步骤
步骤1 (可选)登录管理控制台。
步骤2 进入网站设置页面入口,如图1-6所示。
图1-6 网站设置入口
步骤3 在左侧导航树中,选择“网站设置”,进入“网站设置”页面。
步骤4 在网站列表左上角,单击“添加防护网站”。
步骤5 选择“云模式”后,在“域名配置”页面配置域名基本信息,如图1-7所示。
图1-7 配置基本信息
● “防护域名”:输入证书绑定的域名。
● “端口”:可选参数,仅当用户勾选“非标准端口”时需要配置。
“对外协议”选择“HTTPS”时,WAF默认防护“443”标准端口的业务。
如需配置除“443”以外的端口,勾选“非标准端口”,在“端口”下拉列表中选 择非标准端口。
● “服务器配置”:网站服务器地址的配置。包括对外协议、源站协议、源站地址 和源站端口。
此处,“对外协议”请选择“HTTPS”协议。
● “证书”:单击右侧的 ,并选择已推送的证书。
● “是否已使用代理”:接入Web应用防火墙的网站已使用CDN(Content Delivery Network,内容分发网络)、云加速等代理。
默认值为“否”。
● “策略配置”:默认为“系统自动生成策略”。
更多详细配置请参见添加防护域名。
步骤6 单击“下一步”。
建议您单击“下一步”后单击“完成”,跳过本步骤。后续参照本地验证、域名接入 配置完成域名接入。
步骤7 单击“下一步”后单击“完成”,防护域名添加成功。
----结束
更新证书
如果您的域名已在Web应用防火墙中添加成功(已添加的域名与证书绑定的域名一一 对应),且“对外协议”使用了HTTPS协议,则可参见本部分内容将证书更换成已推 送的证书。
前提条件
● 已获取管理控制台的帐号和密码。
● 已完成证书推送。
● 已购买Web应用防火墙服务。如未购买,则请参见购买Web应用防火墙进行购 买。
● 已在WAF中添加防护域名,且该防护域名跟证书域名一一对应。
● “对外协议”使用了HTTPS协议。
操作步骤
步骤1 (可选)登录管理控制台。
步骤2 进入网站设置页面入口,如图1-8所示。
图1-8 网站设置入口
步骤3 在目标网站所在行的“防护网站”列中,单击目标网站,进入网站基本信息页面。
步骤4 在证书所在行的证书名称后,单击 ,在弹出的“证书更新”对话框中,选择已推送 的证书。
步骤5 单击“确定”,证书更新完成。
----结束
2 域名 DNS 的 TXT 解析-SCM
SSL证书提交申请后,需要进行域名验证。本文档将介绍如何完成DNS验证。
背景信息
SSL证书提交申请后,您需要进行域名授权验证。按照CA中心的规范,如果您申请了 数字证书,您必须配合完成域名验证来证明您对所申请绑定的域名的所有权。当您按 照要求正确配置域名验证信息,待域名授权验证完成,CA系统中心审核通过后,证书 审核才可以进入下一个状态。
如果不完成域名验证,您的证书将无法通过审核,且您的证书申请将会一直显示“待 完成域名验证”的状态。
DNS验证,是指在域名管理平台通过解析指定的DNS记录,来验证域名所有权的一种 方式。当您申请证书时,“域名验证方式”选择的是“DNS验证”,则可参照本文档 完成域名所有权的验证。
操作步骤
步骤1 获取证书的主机记录和记录值。详见获取证书的主机记录和记录值。
步骤2 DNS验证。
DNS验证即解析DNS记录,只能在域名管理平台即您的域名托管平台上进行解析,以 下为您提供了主流的三个域名服务商的解析方法,仅供参考,具体的请咨询您的域名 服务商。
● 如果您的域名托管在华为云云解析服务,请参照华为云DNS解析完成DNS的TXT 解析。
● 如果您的域名是在腾讯云申请的,即域名托管在腾讯云的解析服务,请参照腾讯 DNS解析完成DNS的TXT解析。
● 如果您的域名是在阿里云申请的,即域名托管在阿里云的解析服务,请参照阿里 DNS解析完成DNS的TXT解析。
步骤3 查看DNS验证是否生效。详见验证DNS配置是否生效。
----结束
获取证书的主机记录和记录值
步骤1 登录管理控制台。
步骤2 单击页面左上方的 ,选择“安全与合规 > 云证书管理服务”,进入云证书管理界 面。
步骤3 在左侧导航栏选择“SSL证书管理”,并SSL证书页面中待域名验证的证书所在行的
“操作”列,单击“域名验证”,系统从右面弹出域名验证详细页面。
步骤4 在证书的域名验证页面,查看并记录“主机记录”、“记录类型”和“记录值”,如 图2-1所示。
如果界面未显示,则请登录邮箱(申请证书时填写的邮箱)进行查看。
图2-1 查看主机记录
----结束
华为云 DNS 解析
如果您是在华为云平台管理您的域名,请参考本部分进行操作。
步骤1 登录管理控制台。
步骤2 选择“网络 > 云解析服务”,进入“云解析”页面。
步骤3 在左侧树状导航栏,选择“域名解析 > 公网解析”,进入“公网域名”页面。
步骤4 在“公网域名”页面的域名列表中,单击添加的域名名称(多域名类型证书则添加主 域名名称),进入该域名的记录集页面。
步骤5 在页面右上角,单击“添加记录集”,进入“添加记录集”页面,如图2-2所示。
说明
如果在“解析记录”的域名列表中,已存在域名“domain3.com”的TXT记录值,直接在目标域 名的“操作”列,单击“修改”,进入“修改记录集”页面。
图2-2 域名解析
“_dnsauth.example.com”,则主机记录填写“_dnsauth”。
● 如果域名服务商返回的主机记录为“example.com”,则主机记 录为空,不需要填写。
类型 选择“TXT – 设置文本记录”。
别名 选择“否”。
线路类型 选择“全网默认”。
TTL (秒) 一般建议设置为5分钟。TTL值越大,则DNS记录的同步和更新越 慢。
● 请您务必检查是否正确配置了DNS记录,DNS没有配置正确是无法签发证书的。
步骤7 验证完成后,CA机构可能还需要一段时间审核域名信息。在此期间,证书状态为“待 完成域名验证”。
CA机构审核通过后,证书审核才可以进入“待完成组织验证”状态。
----结束
腾讯 DNS 解析
如果您需要绑定华为云SSL证书的域名是在腾讯云申请的,您需要先在腾讯云DNS解析 控制台中添加TXT记录,完成DNS验证。
步骤1 登录腾讯云DNS解析控制台。
– 如果域名服务商返回的“主机记录”为“_dnsauth.domain.com”,则主机 记录填写“_dnsauth”。
– 如果域名服务商返回的“主机记录”为“domain.com”,则“主机记录”处 选择“@”即可。
● 记录类型:选择“TXT”。
● 线路类型:选择“默认”类型,否则会导致部分用户无法解析。
● 记录值:输入该域名在华为云SSL证书服务控制台获取的DNS记录值,具体的操作 步骤如获取证书的主机记录和记录值。
● MX优先级:不需要填写。
● TTL:为缓存时间,数值越小,修改记录各地生效时间越快,默认为600秒。
步骤4 单击“保存”,完成添加。
----结束
阿里 DNS 解析
如果您需要绑定华为云SSL证书的域名是在阿里云申请的,您需要先在阿里云DNS解析 控制台中添加TXT记录,完成DNS验证。
步骤1 登录阿里云DNS解析控制台。
– 如果域名服务商返回的“主机记录”为“_dnsauth.domain.com”,则主机 记录填写“_dnsauth”。
– 如果域名服务商返回的“主机记录”为“domain.com”,则“主机记录”处 选择“@”即可。
● 解析线路:选择“默认”类型,否则会导致部分用户无法解析。
● 记录值:输入该域名在华为云SSL证书服务控制台获取的DNS记录值,具体的操作 步骤如获取证书的主机记录和记录值。
● TTL:为缓存时间,数值越小,修改记录各地生效时间越快,默认为600秒。
步骤4 单击“确定”,完成添加。
----结束
验证 DNS 配置是否生效
根据不同的操作系统,选择以下命令验证DNS配置是否生效。
本文档以主机记录值为“_dnsauth.domain.com”为例。
● Windows系统:
nslookup -q=TXT _dnsauth.domain.com
● Linux系统:
dig TXT _dnsauth.domain.com
● MACOS系统:
dig TXT _dnsauth.domain.com
如果界面回显的记录值(text的值)与域名服务商返回的“记录值”一致,说明域名授 权验证配置已经生效。
A 修订记录
发布日期 修改说明
2021-03-01 第一次正式发布。