云屋智能融合CDN

2个月前发布 93 00
收藏 0

云屋融合CDN是一家企业级智能CDN专业服务商,高防CDN和免备案高防CDN服务,以其卓越的内容加速能力和强大的安全防护机制,立志成为国内优质的CDN服务商。

收录时间:
2025-01-10
打开网站手机查看
云屋智能融合CDN云屋智能融合CDN
云屋智能融合CDN
自动化证书是由云屋智能融合CDN自主研发的申请、续签、部署等一系列SSL系统,通过您托管给我们的域名DNS平台AK密钥,自动解析验证申请域名SSL证书。
这一切的前提是您需要将您DNS平台的AK密钥提交到证书订单内,否则并不凸显该功能特性
加密算法
 RSA 加密算法:国际标准算法,应用较早的算法之一,普遍性更强,同比 ECC 算法的适用范围更广,兼容性更好,一般采用2048位的加密长度,服务端性能消耗较高。
 ECC 加密算法:椭圆加密算法,新一代算法趋势主流,一般采用256位加密长度(相当于 RSA-3072 位加密强度)更安全,抗攻击型更强,同比 RSA 算法加密速度快,效率更高,服务器资源消耗更低。
您可以通过下表对比项目查看两种加密算法的具体区别:
对比项目ECC 加密算法RSA 加密算法推荐
密钥长度256位推荐384位2048位推荐3072位4096位
CPU占用较少较高适中较高较高
内存占用较少较高适中较高较高
网络消耗较少较高适中较高较高
加密效率较高特高一般较高较高
抗攻击性较强特强一般较强较强
兼容范围新版浏览器和操作系统均支持,但存在少数不支持的平台。例如 cPanel新版浏览器和操作系统均支持,但存在少数不支持的平台。例如 cPanel均支持均支持均支持

 提醒:您在添加证书后,不建议无故修改加密算法,修改后可能会导致证书无法 吊销 / 删除 等操作。

管理方式
 自动管理:系统自动申请/续签/部署并管理证书,申请成功后自动部署至CDN系统配置中,到期后自动续签,您全程无需关心证书问题。
 自动续签:系统自动申请/续签证书,申请成功后并不部署至CDN系统配置中,到期后自动续签,您需要手动部署证书至CDN系统配置中。
 手动管理:您需要手动验证域名的DNS解析和证书部署,申请成功后 您需要手动部署证书至CDN系统配置中,到期后需重新操作前述过程。
您可以通过下表对比项目查看三种管理方式的具体区别:
对比项目自动管理推荐自动续签手动管理
申请证书自动自动手动
续签证书自动自动手动
部署CDN自动手动手动
部署VIP自动手动手动
部署通知通知通知暂无
续签通知通知通知暂无
部署通知通知通知暂无

 注意:目前只有当您添加以下云服务商账号时,才可实现自动化SSL证书的相关操作。

 提示:自动管理 和 自动续签 需要您了解下文的具体授权密钥操作。

帐号授权权限
最小化授权从提升账号的安全性角度,我们推荐您采用最小化授权的方式,即只为 API 访问凭证授予下文列表需要使用的权限。这意味着:
  • 请勿提供云服务商主账号对应的 API 访问凭证。该凭证具有访问云服务商所有产品的权限,而自动化SSL证书只需要访问DNS云解析服务。
  • 您需要在云服务商的账号系统中创建一个子账号,为该子账号授予DNS云解析服务的相关访问权限,并为该子账号生成 API 访问凭证。然后将该子账号的 API 访问凭证提供给自动化SSL证书。
  • 自动化SSL证书系统并不需要除DNS云解析外的操作权限,您可放心提供相关AK。
  • 系统大致的权限需求为获取解析记录/添加解析记录/修改解析记录/删除解析记录,其中主要类型为TXT解析类型。
  • 常见的解析失败原因可能会是域名开启了禁止修改锁等,即:禁止修改添加删除任何解析记录。

 注意:域名DNS操作的前提是您在DNS平台拥有域名的主域名,即:xxx.com;而并非是 二级 / 多级 域名,即:xx.xxx.com。

关于为该子账号授予哪些权限,请参见下文列表。
域名DNS平台
为了向您提供服务,自动化SSL证书需要获取您在域名云服务商平台中的部分权限,需要提供账号对应的“API 访问凭证”,创建“子账号”并为子账号“授予 DNS”的操作权限。
“API 访问凭证”是调用云服务商 API 的身份凭证,类似于登录控制台所使用的账号和密码。
不同云服务商使用不同的名称指代“API 访问凭证”,如“密钥”“访问密钥”“AccessKey”等。
在不同云服务商的账号系统中,API 访问凭证 可能使用了不同的命名方式。这些命名可以是:
  • Access Key ID / Access Key Secret / Secret Access Key(我们将简称为 AK)
  • API 密钥
  • Access Token
  • Access Token、Client Secret 和 Client Token
其中我们目前支持的云服务商和 API 访问凭证 命名是:
 阿里云:AccessKey ID / AccessKey Secret
 腾讯云:SecretId / SecretKey(DNSPod已迁移至此)
 华为云:Access Key ID / Secret Access Key
若您的域名DNS不在上述平台中,建议您进行NS迁移(免费),到上述平台添加云解析DNS,并将在您的域名DNS平台中NS记录指向上述平台。
您可以通过下表点击进行云服务商的相关操作:
操作步骤阿里云推荐腾讯云
创建云帐号https://account.aliyun.com/register/qr_register.htmhttps://cloud.tencent.com/register
添加云解析https://dns.console.aliyun.com/https://console.cloud.tencent.com/cns
迁移云解析https://help.aliyun.com/zh/dns/smooth-domain-name-migrationhttps://cloud.tencent.com/document/product/302/60584
创建子用户https://help.aliyun.com/zh/ram/user-guide/create-a-ram-userhttps://cloud.tencent.com/document/product/598/13674
授权子用户https://help.aliyun.com/zh/ram/user-guide/grant-permissions-to-the-ram-userhttps://cloud.tencent.com/document/product/598/36256
子用户密钥https://help.aliyun.com/zh/ram/support/faq-about-accesskey-pairshttps://cloud.tencent.com/document/product/598/37140
需求权限DNS全局读写权限DNS全局读写权限
读权限查询 解析记录查询 解析记录
写权限添加 / 删除 解析记录添加 / 删除 解析记录
操作步骤华为云
创建云帐号https://reg.huaweicloud.com/registerui/public/custom/register.html
添加云解析https://console.huaweicloud.com/dns/
迁移云解析https://support.huaweicloud.com/usermanual-dns/dns_usermanual_0001.html
创建子用户https://support.huaweicloud.com/usermanual-iam/iam_02_0001.html
授权子用户https://support.huaweicloud.com/usermanual-iam/iam_01_0652.html
子用户密钥https://support.huaweicloud.com/usermanual-ca/ca_01_0003.html
需求权限DNS全局读写权限
读权限查询 公网Zone列表 / 解析记录
写权限添加 / 删除 解析记录
您可在上图控制台处选择并添加的相关AK,参见下文具体的获取流程。
阿里云AK
获取密钥AK填写密钥AK
参照以下步骤,在阿里云控制台获取所需的 AccessKey:
  • 创建 RAM 用户。详情请参考阿里云官方文档
  • 创建 RAM 用户时,请确保启用OpenAPI 调用访问选项。
  • 获取 RAM 用户的 AccessKey。
  • AccessKey 包含 AccessKey ID 和 AccessKey Secret 两部分。请注意,AccessKey Secret 仅在创建 RAM 用户时可下载和保存,之后将无法在控制台中查看。
 
在自动化SSL证书配置阿里云账号的 API 访问凭证时,按照以下方式填写:
  • AKeyID:填写 AccessKey ID。
  • AKeySecret:填写 AccessKey Secret。

腾讯云AK
获取密钥AK填写密钥AK
参照以下步骤,在腾讯云控制台获取所需的 API 密钥:
  • 创建子用户。详情请参考腾讯云官方文档
  • 创建子用户时,请确保启用编程访问选项。
  • 获取子用户的 API 密钥。
  • API 密钥包含 SecretId 和 SecretKey 两部分。请注意,SecretKey 仅在创建子用户时可下载和保存,之后将无法在控制台中查看。
 
在自动化SSL证书配置腾讯云账号的 API 访问凭证时,按照以下方式填写:
  • SecretId:填写 SecretId。
  • SecretKey:填写 SecretKey。

华为云AK
获取密钥AK填写密钥AK
参照以下步骤,在华为云控制台获取所需的 访问密钥:
  • 创建 IAM 用户。详情请参考华为云官方文档
  • 创建 IAM 用户时,请确保启用编程访问访问密钥选项。
  • 获取 IAM 用户的访问密钥。
  • 访问密钥包含访问密钥 ID(AK)和秘密访问密钥(SK)两部分。请注意,秘密访问密钥(SK)仅在创建 IAM 用户时可下载和保存,之后将无法在控制台中查看。
 
在自动化SSL证书配置华为云账号的 API 访问凭证时,按照以下方式填写:
  • AKeyID:填写 Access Key ID。
  • SecretAKey:填写 Secret Access Key。

管理证书
自动化SSL证书提供成熟的证书管理模式,其涵盖 日志查询 / AK测试 / 证书下载 / 重新部署至CDN / 重新签发 / 吊销证书 / 销毁证书等。
下文中将各项配置和数据进行大致概览阐述。
保护域名
通用域名支持绝大多数的国际域名,并且支持中文域名,系统会自动对中文域名转码。
保护域名即为证书所支持使用的域名,该证书对列表在内的域名全部有效,也就是一张证书支持多个不同的域名进行保护,您无需额外将每个域名单独申请。
但是随着证书内的保护域名存在多个,5个、10个、15个等等,随之证书所需要加载和消耗的时间等资源逐之增加,可以简单理解为:单张证书保护的域名越多,浏览器加载时间越长
那么您有一些域名,例如:2个、20个、50个、100个,您该在证书内一次申请多少个域名(填写在保护域名内)呢?自动化SSL管理通过长期测试,找到一个适中的数量区间,20个,既可以支持小型站点,也可以支持多个不同的站点。
当然这些您知晓即可,并不需要关注,因为该功能初衷就是为了解除用户频繁对证书的手动申请和部署的困扰,所以在控制台内,证书列表里也没有到期时间的概念,因为该系统可以让您无需关心证书。
下面您需要了解的也有许多,首先是对保护域名内的使用限制,参见下文为每张证书支持的域名组合示例:
支持组合无泛域名支持组合有泛域名不支持组合有泛域名
请注意主域和前缀不同:
  • a.com
  • www.a.com
  • 1.a.com
  • 2.a.com
  • b.com
  • www.b.com
  • 1.b.com
  • 2.1.b.com
  • 3.2.1.b.com
…等重复上述更多
请注意主域和前缀不同:
  • a.com
  • *.a.com
  • b.com
  • *.b.com
  • 1.c.com
  • *.1.c.com
  • 1.d.com
  • *.1.d.com
  • *.2.1.e.com
…等重复上述更多
请注意主域和前缀不同:
  • a.com
  • www.a.com
  • *.a.com
为什么不支持?因为证书限制中,同一个主域名下,泛域名不允许出现非自身外的其他级域名,请参见下文。
上文不支持的域名组合提到,因为证书限制中,同一个主域名下,泛域名不允许出现非自身外的其他级域名,所以存在泛域名时并且存在与泛域名同级的多级域名是不允许的。
极简思路为:您做一个减去法,把带*.的符号去掉,如果是不同域名,那么是不支持的。
比如1.a.com和*.1.a.com,去掉泛*.则等于1.a.com和1.a.com,这样是支持的,因为属于同级别的泛域名。
比如2.1.a.com和*.1.a.com,去掉*.泛则等于2.1.a.com和1.a.com,这样是不支持的,因为不属于同级别的泛域名。
当然您如果觉得不是很好理解,那么在您没有特殊需求的情况下,您可以理解成:同一个主域名下 泛域名只支持携带一个域名,或者不携带。
证书状态
自动化证书的当前状态有很多种,又不是很好理解当前状态是什么意思,参见下表:
状态列表自动管理自动续签手动管理
1:等待提交:证书刚刚提交自动处理,无需关注。自动处理,无需关注。等待系统自动显示需要您手动解析的解析列表。
2:等待解析:未解析等待验证自动处理,无需关注。自动处理,无需关注。需要对显示的解析信息进行手动解析,然后提交验证(每小时限制提交4次)。
3:等待验证:已解析等待提交验证自动处理,无需关注。自动处理,无需关注。提交验证(每小时限制提交4次)建议您解析后待全球生效后再进行提交。
4:等待签发:验证信息已经提交自动处理,无需关注。自动处理,无需关注。若验证失败,需重新点击管理证书,并获取解析信息,重新进行解析。
5:签发处理:系统确认证书中自动处理,无需关注。自动处理,无需关注。自动处理,无需关注。
6:签发成功:等待系统获取证书自动处理,无需关注。自动处理,无需关注。自动处理,无需关注。
7:等待部署:等待部署至CDN中自动处理,若控制台内无匹配证书的加速域名(包含VIP线路),将不会部署,然后置为 11:正常有效 状态。会直接置为 11:正常有效 状态。会直接置为 11:正常有效 状态。
8:部署中:系统正在部署CDN中自动处理,无需关注。暂无暂无
9:部署失败:部署CDN失败可能域名未开启加速,或账户欠费等,可在证书日志内查看具体原因。暂无暂无
10:解析失败:系统自动解析失败请检查DNS平台的权限或AK状态或DNS账户状态。请检查DNS平台的权限或AK状态或DNS账户状态。暂无
11:正常有效:证书流程结束若控制台内有匹配证书的加速域名,则表示已经全部部署完成。证书所有流程处理结束。证书所有流程处理结束。
12:签发失败:签发失败/不予签发证书保护域名内的存在恶意申请或其他操作。证书保护域名内的存在恶意申请或其他操作。证书保护域名内的存在恶意申请或其他操作。
13:证书吊销:证书被用户吊销证书被用户主动吊销。证书被用户主动吊销。证书被用户主动吊销。
14:证书到期:证书有效期结束自动处理,无需关注。自动处理,无需关注。手动点击重新签发,进入 1:等待提交 状态。
查询日志
该列表内详细的记录了证书的所有行为操作记录和日志状态。
云屋智能融合CDN插图
AK测试
只有自动管理 / 自动续签 的管理方式才支持AK测试操作,通过对DNS进行一次或多次的解析测试来验证您的提供的DNS平台AK是否有效。
多个不同主域名会进行多次添加解析记录,添加成功后会立即删除,其中解析内容参见下文:
  • 解析类型:TXT
  • 主机记录:cdn-auto-ssl-test-rr开头,例:cdn-auto-ssl-test-rr-1735571880
  • 解析记录值:Cdn-Auto-Ssl-Test-Vl开头,例:Cdn-Auto-Ssl-Test-Vl–1735571880
  • 具体解析内容:cdn-auto-ssl-test-rr-1735571880.xxx.com -> TXT -> Cdn-Auto-Ssl-Test-Vl–1735571880

 再次提醒:域名DNS操作的前提是您在DNS平台拥有域名的主域名,即:xxx.com;而并非是 二级 / 多级 域名,即:xx.xxx.com。

重新部署
只有 自动管理 的管理方式才支持重新部署操作,证书状态会重新进入 7:等待部署 状态,并对保护域名内的域名 且 存在CDN加速的域名进行部署,同时会检测是否需要进行VIP线路的部署。
重新签发
若信息填写错误,或其他需求,可对证书进行重新签发处理,该操作不会重新占用证书额度,但不建议您这么做,应在创建证书时谨慎操作。
若证书状态不是11:正常有效(剩余时间15天内)/12:签发失败/13:证书吊销/14:证书到期状态,将不支持重新签发。
吊销证书
若您的信息填写错误,或其他需求,可对证书进行吊销处理,该操作不会移除证书额度,但不建议您这么做,应在创建证书时谨慎操作。
若证书状态不是11:正常有效状态,将不支持吊销证书。

 特别提醒:

不建议无故吊销证书,吊销后可能会导致证书无法重新签发等操作。

删除证书
当不再需要该证书时,可进行删除证书,该操作会移除证书额度。
自动/手动:若证书状态不是1:等待提交/2:等待解析/12:签发失败/13:证书吊销/14:证书到期状态,将不支持删除证书。
自动管理/续签:若证书状态处于3:等待验证/4:等待签发/5:签发处理/6:签发成功/7:等待部署/8:部署中/9:部署失败/10:解析失败状态,将不支持删除证书。
证书到期
当证书邻近到期时间(15天内),自动管理系统会在到期前的第14天开始进行续签操作,流转至 1:等待提交 状态,并且重新部署至CDN(自动续签无此操作),您无需关心该时间;若是手动管理,需到控制台重新申请。
占用额度
全自动SSL证书 与 常规证书 不同,前者存在额度限制,当然您也无需关心该额度收费或该功能收费,该额度与域名额度同步,且该功能免费
例如:域名额度为10个,那么您就可以申请10张证书,若每张证书内包含20个保护域名,那么您的基础有效保护域名为10*20=200个保护域名,且是在无泛域名的基础下。
只要是存在 全自动SSL证书 列表内,均会占用额度,一张证书占用一个额度,而非保护域名数量,若有更高需求,可计划提高域名额度即可。

相关导航

暂无评论

您必须登录才能参与评论!
立即登录
none
暂无评论...

热门网址

随机
加载更多

标签推荐