域名DNS的TXT解析-SCM_云证书管理服务 CCM_最佳实践_华为云

最佳实践

文档版本 01

发布日期 2021-03-01

版权所有 © 华为技术有限公司 2021。 保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传 播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或 特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声 明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文 档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

目 录

1 推送 SSL 证书到 WAF 最佳实践... 1

1.1 场景说明...1

1.2 申请并推送证书...2

1.3 添加防护域名或更新证书... 4

2 域名 DNS 的 TXT 解析-SCM... 8

A 修订记录... 13

1 推送 SSL 证书到 WAF 最佳实践

1.1 场景说明

当您需要实现网站HTTPS化，并监控HTTPS业务流量，识别并阻断SQL注入、CC攻击 等攻击，保护Web服务安全稳定时，本文档指导您如何实现网站HTTPS化并对HTTPS 业务流量进行监控。

假设您有一个网站，网站域名为www.example.com，您需要申请SSL证书，并使用已 购买的Web应用防火墙（Web Application Firewall，WAF）帮助您监控HTTPS业务流 量。本文档详细介绍该场景下，完成证书的申请并启用Web应用防火墙监控HTTPS业 务流量的操作。

SSL 证书工作原理

SSL证书是用户在Web服务器与浏览器以及客户端之间建立加密通道，通过配置和应用 SSL证书来启用HTTPS协议，来保证互联网数据传输的安全。

图1-1 SSL 证书工作原理

WAF 配置原理

Web应用防火墙通过对HTTPS请求进行检测，识别并阻断SQL注入、跨站脚本攻击、

网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC 攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。

本文档介绍客户端和Web应用防火墙之间未使用代理情况下的配置。若在客户端和 Web应用防火墙之间使用了代理，配置请参见WAF文档。

图1-2 未使用代理配置原理图

● 当网站没有接入到WAF前，DNS直接解析到源站的IP，用户直接访问服务器。

● 当网站接入WAF后，需要把DNS解析到WAF的CNAME，这样流量才会先经过 WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。

1.2 申请并推送证书

您需要在SSL证书管理平台申请证书，证书申请完成后再将证书推送到WAF中。

申请并推送证书流程说明如图1-3所示。

图1-3 申请并推送证书流程

说明

● 验证域名所有权：

● 当您是在华为云平台管理您的域名，在华为云的云解析服务上进行DNS验证时，“验证 域名所有权”需在华为云的管理平台操作。

● 当您是在其他域名管理平台（如万网、新网、DNSPod等）管理您的域名，“验证域名 所有权”请在相应的平台上操作。

● 组织验证（仅OV和EV类型证书需要）：

CA机构将联系组织的公开电话，确认组织是否发起了此次的证书订单申请。

本文档介绍在华为云的管理平台上进行域名验证。

操作步骤

操作步骤仅描述需要在华为云控制台上进行的操作。

1. 购买证书：您需要根据您域名类型购买对应的证书，详细操作请参见购买证书。

2. 申请证书：成功购买后，您需要申请证书并提交审核，详细操作请参见申请证 书。

3. 域名验证：提交审核后，证书颁发机构将向您填写的邮箱发送一封验证邮件，您 需要进行域名验证，详细操作请参见验证域名所有权。

4. 组织验证：当您申请的是OV和EV类型证书时，域名验证完成后，CA机构将向您 填写的邮箱发送一封组织验证邮件。CA机构将根据您选择的验证方式与企业/组织 进行联系，确认企业/组织是否发起了此次的证书订单申请。详细操作请参见组织 验证。

5. 推送证书。

推送证书

步骤1 登录管理控制台。

步骤2 单击页面左上方的 ，选择“安全与合规 > 云证书管理服务”，进入云证书管理界 面。

步骤3 在左侧导航栏选择“SSL证书管理”，进入SSL证书管理页面。

步骤4 在需要推送的证书所在行的“操作”列，单击“推送”，系统从右面弹出证书推送详 细页面，如图1-4所示。

图1-4 推送证书

步骤5 选择WAF，并单击目标项目右侧的 ，选择推送的区域。

图1-5 选择区域

步骤6 在页面右下角单击“推送”。

页面出现推送证书成功提示，表示SSL证书推送给目标服务成功。

此时，您还需要在目标服务中进行证书配置操作才能在目标服务中正确启用HTTPS服 务。

步骤7 系统弹出提示，在弹出提示中，单击“立即前往配置”。系统将进入Web应用防火墙 管理页面。

您也可以单击“继续推送”或单击页面右上角的 。系统将回到证书推送页面或SSL 证书管理界面。您可以后续自行前往WAF页面进行配置。

----结束

1.3 添加防护域名或更新证书

证书推送成功后，您还需要在WAF中，勾选HTTPS协议，并选择已推送的证书。

该任务指导用户如何在WAF中进行配置。

操作指引：

● 添加防护域名：如果您的域名未在WAF中添加，则请参见本部分内容进行操作。

更多详细配置可参见WAF手册中的添加防护域名。

● 更新证书：如果您的域名已在WAF中添加成功（已添加的域名与证书绑定的域名

一一对应），且“对外协议”使用了HTTPS协议，则可参见本部分内容将证书更 换成已推送的证书。

添加防护域名

如果您未在Web应用防火墙中添加您的域名，则请参见本部分内容进行操作。

前提条件

● 已获取管理控制台的帐号和密码。

● 已完成证书推送。

● 已购买Web应用防火墙服务。如未购买，则请参见购买Web应用防火墙进行购 买。

操作步骤

步骤1 （可选）登录管理控制台。

步骤2 进入网站设置页面入口，如图1-6所示。

图1-6 网站设置入口

步骤3 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。

步骤4 在网站列表左上角，单击“添加防护网站”。

步骤5 选择“云模式”后，在“域名配置”页面配置域名基本信息，如图1-7所示。

图1-7 配置基本信息

● “防护域名”：输入证书绑定的域名。

● “端口”：可选参数，仅当用户勾选“非标准端口”时需要配置。

“对外协议”选择“HTTPS”时，WAF默认防护“443”标准端口的业务。

如需配置除“443”以外的端口，勾选“非标准端口”，在“端口”下拉列表中选 择非标准端口。

● “服务器配置”：网站服务器地址的配置。包括对外协议、源站协议、源站地址 和源站端口。

此处，“对外协议”请选择“HTTPS”协议。

● “证书”：单击右侧的 ，并选择已推送的证书。

● “是否已使用代理”：接入Web应用防火墙的网站已使用CDN（Content Delivery Network，内容分发网络）、云加速等代理。

默认值为“否”。

● “策略配置”：默认为“系统自动生成策略”。

更多详细配置请参见添加防护域名。

步骤6 单击“下一步”。

建议您单击“下一步”后单击“完成”，跳过本步骤。后续参照本地验证、域名接入 配置完成域名接入。

步骤7 单击“下一步”后单击“完成”，防护域名添加成功。

----结束

更新证书

如果您的域名已在Web应用防火墙中添加成功（已添加的域名与证书绑定的域名一一 对应），且“对外协议”使用了HTTPS协议，则可参见本部分内容将证书更换成已推 送的证书。

前提条件

● 已获取管理控制台的帐号和密码。

● 已完成证书推送。

● 已购买Web应用防火墙服务。如未购买，则请参见购买Web应用防火墙进行购 买。

● 已在WAF中添加防护域名，且该防护域名跟证书域名一一对应。

● “对外协议”使用了HTTPS协议。

操作步骤

步骤1 （可选）登录管理控制台。

步骤2 进入网站设置页面入口，如图1-8所示。

图1-8 网站设置入口

步骤3 在目标网站所在行的“防护网站”列中，单击目标网站，进入网站基本信息页面。

步骤4 在证书所在行的证书名称后，单击 ，在弹出的“证书更新”对话框中，选择已推送 的证书。

步骤5 单击“确定”，证书更新完成。

----结束

2 域名 DNS 的 TXT 解析-SCM

SSL证书提交申请后，需要进行域名验证。本文档将介绍如何完成DNS验证。

背景信息

SSL证书提交申请后，您需要进行域名授权验证。按照CA中心的规范，如果您申请了 数字证书，您必须配合完成域名验证来证明您对所申请绑定的域名的所有权。当您按 照要求正确配置域名验证信息，待域名授权验证完成，CA系统中心审核通过后，证书 审核才可以进入下一个状态。

如果不完成域名验证，您的证书将无法通过审核，且您的证书申请将会一直显示“待 完成域名验证”的状态。

DNS验证，是指在域名管理平台通过解析指定的DNS记录，来验证域名所有权的一种 方式。当您申请证书时，“域名验证方式”选择的是“DNS验证”，则可参照本文档 完成域名所有权的验证。

操作步骤

步骤1 获取证书的主机记录和记录值。详见获取证书的主机记录和记录值。

步骤2 DNS验证。

DNS验证即解析DNS记录，只能在域名管理平台即您的域名托管平台上进行解析，以 下为您提供了主流的三个域名服务商的解析方法，仅供参考，具体的请咨询您的域名 服务商。

● 如果您的域名托管在华为云云解析服务，请参照华为云DNS解析完成DNS的TXT 解析。

● 如果您的域名是在腾讯云申请的，即域名托管在腾讯云的解析服务，请参照腾讯 DNS解析完成DNS的TXT解析。

● 如果您的域名是在阿里云申请的，即域名托管在阿里云的解析服务，请参照阿里 DNS解析完成DNS的TXT解析。

步骤3 查看DNS验证是否生效。详见验证DNS配置是否生效。

----结束

获取证书的主机记录和记录值

步骤1 登录管理控制台。

步骤2 单击页面左上方的 ，选择“安全与合规 > 云证书管理服务”，进入云证书管理界 面。

步骤3 在左侧导航栏选择“SSL证书管理”，并SSL证书页面中待域名验证的证书所在行的

“操作”列，单击“域名验证”，系统从右面弹出域名验证详细页面。

步骤4 在证书的域名验证页面，查看并记录“主机记录”、“记录类型”和“记录值”，如 图2-1所示。

如果界面未显示，则请登录邮箱（申请证书时填写的邮箱）进行查看。

图2-1 查看主机记录

----结束

华为云 DNS 解析

如果您是在华为云平台管理您的域名，请参考本部分进行操作。

步骤1 登录管理控制台。

步骤2 选择“网络 > 云解析服务”，进入“云解析”页面。

步骤3 在左侧树状导航栏，选择“域名解析 > 公网解析”，进入“公网域名”页面。

步骤4 在“公网域名”页面的域名列表中，单击添加的域名名称（多域名类型证书则添加主 域名名称），进入该域名的记录集页面。

步骤5 在页面右上角，单击“添加记录集”，进入“添加记录集”页面，如图2-2所示。

说明

如果在“解析记录”的域名列表中，已存在域名“domain3.com”的TXT记录值，直接在目标域 名的“操作”列，单击“修改”，进入“修改记录集”页面。

图2-2 域名解析

表2-1 域名解析参数说明 参数名称 参数说明

主机记录 证书的“域名验证”页面，域名服务商返回的“主机记录”。

不同的域名服务商返回的主机记录不同，请保持填写记录一致。

示例：

● 如果域名服务商返回的主机记录为

“_dnsauth.example.com”，则主机记录填写“_dnsauth”。

● 如果域名服务商返回的主机记录为“example.com”，则主机记 录为空，不需要填写。

类型 选择“TXT – 设置文本记录”。

别名 选择“否”。

线路类型 选择“全网默认”。

TTL (秒) 一般建议设置为5分钟。TTL值越大，则DNS记录的同步和更新越 慢。

值 证书的“域名验证”页面，域名服务商返回的“记录值”。

说明

记录值必须用英文引号引用后粘贴在文本框中。

其他的设置保持不变。

步骤6 单击“确定”，记录集添加成功。

当记录集的状态显示为“正常”时，表示记录集添加成功。

说明

● 该DNS配置记录在证书颁发或吊销后才可以删除。

● 请您务必检查是否正确配置了DNS记录，DNS没有配置正确是无法签发证书的。

步骤7 验证完成后，CA机构可能还需要一段时间审核域名信息。在此期间，证书状态为“待 完成域名验证”。

CA机构审核通过后，证书审核才可以进入“待完成组织验证”状态。

----结束

腾讯 DNS 解析

如果您需要绑定华为云SSL证书的域名是在腾讯云申请的，您需要先在腾讯云DNS解析 控制台中添加TXT记录，完成DNS验证。

步骤1 登录腾讯云DNS解析控制台。

步骤2 在“域名解析列表”中，选择需要进行TXT记录设置的域名，单击操作栏的“解析”，

进入该域名的“记录管理”页面。

步骤3 单击“添加记录”，填写以下记录信息。

● 主机记录：获取证书的主机记录和记录值中获取的“主机记录”的前缀。

根据域名服务商不同，返回的“主机记录”不同，以下仅为两个样例。

举例：

– 如果域名服务商返回的“主机记录”为“_dnsauth.domain.com”，则主机 记录填写“_dnsauth”。

– 如果域名服务商返回的“主机记录”为“domain.com”，则“主机记录”处 选择“@”即可。

● 记录类型：选择“TXT”。

● 线路类型：选择“默认”类型，否则会导致部分用户无法解析。

● 记录值：输入该域名在华为云SSL证书服务控制台获取的DNS记录值，具体的操作 步骤如获取证书的主机记录和记录值。

● MX优先级：不需要填写。

● TTL：为缓存时间，数值越小，修改记录各地生效时间越快，默认为600秒。

步骤4 单击“保存”，完成添加。

----结束

阿里 DNS 解析

如果您需要绑定华为云SSL证书的域名是在阿里云申请的，您需要先在阿里云DNS解析 控制台中添加TXT记录，完成DNS验证。

步骤1 登录阿里云DNS解析控制台。

步骤2 在域名解析页面，选择“全部域名”页签，单击需要进行TXT记录设置的域名名称，进 入解析设置页面。

步骤3 单击“添加记录”，填写以下记录信息。

● 记录类型：选择“TXT”。

● 主机记录：获取证书的主机记录和记录值中获取的“主机记录”的前缀。

根据域名服务商不同，返回的“主机记录”不同，以下仅为两个样例。

举例：

– 如果域名服务商返回的“主机记录”为“_dnsauth.domain.com”，则主机 记录填写“_dnsauth”。

– 如果域名服务商返回的“主机记录”为“domain.com”，则“主机记录”处 选择“@”即可。

● 解析线路：选择“默认”类型，否则会导致部分用户无法解析。

● 记录值：输入该域名在华为云SSL证书服务控制台获取的DNS记录值，具体的操作 步骤如获取证书的主机记录和记录值。

● TTL：为缓存时间，数值越小，修改记录各地生效时间越快，默认为600秒。

步骤4 单击“确定”，完成添加。

----结束

验证 DNS 配置是否生效

根据不同的操作系统，选择以下命令验证DNS配置是否生效。

本文档以主机记录值为“_dnsauth.domain.com”为例。

● Windows系统：

nslookup -q=TXT _dnsauth.domain.com

● Linux系统：

dig TXT _dnsauth.domain.com

● MACOS系统：

dig TXT _dnsauth.domain.com

如果界面回显的记录值（text的值）与域名服务商返回的“记录值”一致，说明域名授 权验证配置已经生效。

A ^修订记录

发布日期 修改说明

2021-03-01 第一次正式发布。