私有证书管理

更新时间:2024-07-15 14:30:33

mTLS(Mutual Transport Layer Security)双向认证是一种网络连接两端身份真实性的安全认证方法。在mTLS过程中,客户端和服务器端都会验证对方的身份,以建立一个高度安全的通信通道。CDNetworks允许您上传您私有的CA证书,实现CDN与客户端之间的mTLS双向认证,确保通信双方身份的真实性,防止攻击者伪造身份窃取数据。
mTLS的工作原理
在传统的单向认证中,客户端从服务器下载服务器的公钥证书并进行验证。mTLS 则通过以下步骤,实现双向身份验证,有效提升安全等级:

  1. 证书交换: 客户端和服务端互相交换各自的数字证书,证书包含公钥信息和身份信息。
  2. 身份验证: 客户端和服务端使用对方的公钥验证对方证书的合法性,确保对方身份的真实性。
  3. 建立安全连接: 只有当双方身份验证成功后,才会建立安全通信通道,进行数据传输。

CDNetworks允许您可以根据实际需求,在 CDN 控制台中选择开启单向认证或双向认证。

  • 客户端认证服务端(单向认证): 需要上传您的服务端证书文件,该文件需包含公钥和私钥,并将其与您的域名相关联,关于新增证书操作的更多细节,请参照管理SSL/TLS证书
  • 服务端认证客户端(双向认证): 在配置完客户端认证服务端的基础上,上传您私有的CA证书文件并绑关联您的域名。在CDN节点认证客户端阶段,节点使用CA证书验证客户发送的证书的合法性。

如何上传CA证书

  1. 登录CDNetworks Console,在左侧菜单栏找到:证书管理-私有证书-我的证书,点击上传证书按钮。您也可以在证书概览页找到此上传按钮。



2. 在上传证书页面,您可以选择需上传CA证书类型为根CA或者子CA。

如果您选择子CA证书,请指定其所属的根CA证书。

  1. 输入CA名称,即 CA根证书的名称,方便您识别和管理。
  2. CA内容区域,您可以选择导入证书文件或直接复制证书内容,系统会自动解析证书内容。
  3. 上述步骤完成后,点击下一步,进行证书解析。

如何将CA证书关联到您的域名

在我的证书选择已上传的CA证书,点击关联域名,勾选需要关联的域名,完成证书部署。


如何修改CA证书

CDNetworks支持您对已上传的私有证书进行修改和删除操作,确保您的证书信息始终保持最新。

  1. 登录CDNetworks Console,在左侧菜单栏找到:证书管理-私有证书-我的证书,在证书列表中找到您要修改的证书。
  2. 点击右侧操作区的编辑按钮进入证书编辑页面。
  3. 在证书编辑页面,您可以修改CA证书名称、重新上传CA证书文件或直接粘贴修改证书内容及备注信息
  4. 完成修改后,点击下一步按钮,更新证书信息。

如何删除CA证书

如果您不再需要使用某个CA证书,可以将其删除。

  1. 在证书列表中找到您要删除的证书,点击右侧操作区的删除按钮。
    在弹出的确认框中,点击下一步,删除该证书。

注意
仅当该CA证书不存在子级证书,且证书没有关联任何域名时,才可删除该证书。
您可以到私有证书-我的部署列表中,取消域名与证书的关联
删除证书操作不可恢复,请谨慎操作。

如何配置mTLS双向认证

  1. CDNetworks Console跳转到域名配置界面,找到要设置的域名,点击上方配置修改或者域名右侧的编辑按钮Self-Service Configuration for China Premium Service Onboarding
  2. 进入配置修改页面,找到HTTP协议优化-客户端mTLS双向认证,在此您可以配置在客户端和CDN节点开启mTLS双向认证。



3. mTLS双向认证共有四种模式可选:

  • 严格认证模式:CDN节点严格验证客户端证书的有效性和证书颁发机构的授信情况。验证失败的请求将无法正常连接。选择此配置前,必须先配置您的域名关联CA证书。
  • 仅认证客户端证书和CA模式:CDN节点验证客户端证书的有效性和证书颁发机构的授信情况。验证失败的请求仍可正常连接。建议选择此配置前先配置您的域名关联CA证书。
  • 仅认证客户端证书模式:CDN节点仅验证客户端证书的有效性,不验证证书颁发机构的授信情况。验证失败的请求仍可正常连接。建议选择此配置前先配置您的域名关联CA证书。
  • 关闭认证:CDN节点不验证客户端证书。选择此配置无需配置您的域名关联CA证书。

完成上述配置后,请点击下一步提交您的配置。为了避免配置影响您的生产环境,我们推荐您先预部署,把配置生效到测试环境中来验证您的配置是否正确。当配置确定无误后,单击直接部署将配置正式生效到线上环境,通常约3-5分钟后,配置将正式生效到线上环境。关于预部署测试的更多细节,请参考教程通过预部署来验证配置是否生效

本篇文档内容对您是否有帮助?
有帮助
我要反馈
提交成功!非常感谢您的反馈,我们会继续努力做到更好!