产品动态
安全公告
产品公告
使用免费证书部署至 EdgeOne 域名
使用场景
如果您当前网站还未购买 HTTPS 证书,可申请使用免费证书来测试支持 HTTPS 访问。
说明:
1. 免费证书由 TrustAsia 和 Let's Encrypt 机构颁发,不支持下载且不提供 SLA 保障,如需更可靠的证书保障,可前往购买 SSL 证书。
2. 证书有效期为 90 天,到期前 15 天平台将自动为您申请续期,无需您手动更新。如果您当前是 NS 接入,切换至 CNAME 接入后,申请的泛域名证书到期后将无法自动续期,请在触发续期失败后重新申请证书。
3. 由 Let's Encrypt 签发的免费证书不支持 OCSP 装订。
支持的验证方式
免费证书支持三种验证方式:
自动验证:自动验证可以在 NS 服务器生效后或者域名 CNAME 生效后,自动完成免费证书申请及部署。根据站点的接入方式不同,自动验证将采用不同的验证方式向 CA 机构申请免费证书。
如果当前站点是使用 NS 接入/DNSPod 托管接入时,EdgeOne 将自动在当前的 DNS 服务器内添加申请证书所需的验证记录,请确保当前的 DNS 服务器状态正常生效,EdgeOne 将在一小时内发起证书申请验证。
如果当前站点是使用 CNAME 接入时,EdgeOne 将自动在边缘节点内生成用于 CA 验证证书的验证文件,请确保在一小时内为当前域名配置 CNAME 指向 EdgeOne 并且避免使用分线路/分区域解析,才可以完成 CA 校验。
说明:
在 CNAME 接入模式下,使用自动验证申请免费证书,在免费证书申请完成前,该域名的 HTTPS 访问暂时不可用。
DNS 委派验证: 仅 CNAME 接入模式下使用,您可以选择将当前 CA 机构要求验证的子域名的解析记录通过 CNAME 记录的方式委派给 EdgeOne 的指定域名,EdgeOne 将在该域名上维护 CA 机构所要求的 DNS 验证记录。该方式适用于用户希望在加速生效前完成免费证书申请,或者希望在 CNAME 接入模式下申请泛域名证书时。
文件验证:仅 CNAME 接入模式下使用,该验证方式需要在当前域名下的指定路径下,创建指定的文件和文件中所包含的验证值,并且保障该文件是可以被访问到的。该验证方式首次申请通过后,后续域名仍然需要将 CNAME 解析正确指向 EdgeOne 才能保障免费证书可自动更新。该方式主要适用于在 CNAME 接入模式下需要申请免费证书,但是无法使用 DNS 委派验证验证时,可以选择使用文件验证。
示例场景 1:使用自动验证申请免费证书
例如:当前域名
example.com 使用 CNAME 方式接入 EdgeOne,当前域名还没有 HTTPS 证书,希望使用 EO 的免费证书为用户提供 HTTPS 访问加密保护,由于域名访问量较少,也可以接受短时间内不支持用户使用 HTTPS 访问,可使用自动验证的方式申请免费证书。参考操作步骤如下:1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,进入服务总览,单击网站安全加速内需配置的站点。
2. 在左侧导航栏中,单击域名服务 > 域名管理。
3. 在域名管理页面,选择待配置证书的域名,在 HTTPS 列内单击配置。
4. 在 HTTPS 配置中,找到边缘 HTTPS 证书卡片,单击配置。
5. 选择配置方式为申请免费证书,验证方式选择为自动验证,单击保存。
6. 返回域名管理界面,参考 修改 CNAME 解析,为当前域名配置 CNAME 记录,请避免使用分线路/分区域解析。
7. 等待域名 CNAME 生效,免费证书将在 CA 机构签发证书后自动完成部署。部署完成后,重新进入 HTTPS 配置界面,即可查看当前的证书状态为已配置。
示例场景 2:使用 DNS 委派验证申请免费证书
例如:当前域名
example.com 使用 CNAME 方式接入 EdgeOne,域名的解析已托管在腾讯云云解析 DNS 内,当前域名还没有 HTTPS 证书,希望使用 EO 的免费证书为用户提供 HTTPS 访问加密保护,由于该域名用户必须使用 HTTPS 才可以访问,必须提前完成 HTTPS 证书部署,因此选择使用 DNS 委派验证的方式申请免费证书。参考操作步骤如下:1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,进入服务总览,单击网站安全加速内需配置的站点。
2. 在左侧导航栏中,单击域名服务 > 域名管理。
3. 在域名管理页面,选择待配置证书的域名,在 HTTPS 列内单击配置。
4. 在 HTTPS 配置中,找到边缘 HTTPS 证书卡片,单击配置。
5. 选择配置方式为申请免费证书,验证方式选择为 DNS 委派验证,点击获取验证内容。
6. 查看需要配置的验证内容,在当前的域名解析服务商内,配置指定的 DNS 记录,将验证域名的记录解析托管给 EdgeOne 指定域名。例如:在当前示例中,域名的解析托管在腾讯云云解析 DNS 内,可参考以下步骤配置,如果域名解析在其它服务商内,请参考对应解析服务商的操作文档配置:
6.1 登录腾讯云云解析 DNS 控制台,在权威解析中,点击需要配置的域名进入解析配置。
6.2 在记录管理中,单击添加记录,添加一条 CNAME 记录,主机记录和记录值为获取到的验证内容中提供的需配置的记录信息。
6.3 单击确认,添加完成。
7. 添加完成对应的验证记录后,验证记录通常需要 5-10 分钟时间才能生效,建议通过工具验证记录生效状态(例如:DNS 诊断工具 或者其它 mdig 工具),确认当前记录配置已正确生效。如果仅使用本机验证不能代表该 DNS 记录已在全球范围内生效, CA 机构仍然可能会因为检测不到对应的 DNS 记录值拒绝签发证书,建议完全生效后,再进行下一步。
8. 点击验证,在验证通过后,即完成免费证书申请。
9. 点击保存,将该证书下发至当前域名,等待域名部署完成后,该域名即可使用 HTTPS 访问。
示例场景 3:使用文件验证申请免费证书
例如:当前域名
example.com 使用 CNAME 方式接入 EdgeOne,当前域名还没有 HTTPS 证书,希望使用 EO 的免费证书为用户提供 HTTPS 访问加密保护,由于该域名用户必须使用 HTTPS 才可以访问,必须提前完成 HTTPS 证书部署,因此选择使用文件验证的方式申请免费证书。参考操作步骤如下:1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,进入服务总览,单击网站安全加速内需配置的站点。
2. 在左侧导航栏中,单击域名服务 > 域名管理。
3. 在域名管理页面,选择待配置证书的域名,在 HTTPS 列内单击配置。
4. 在 HTTPS 配置中,找到边缘 HTTPS 证书卡片,单击配置。
5. 选择配置方式为申请免费证书,验证方式选择为文件验证,点击获取验证内容。
6. 查看需要配置的验证内容,文件验证需要您在当前域名站点的指定目录下上传验证所需的 TXT 文件,以 Linux 服务器为例,配置的方式如下:
6.1 在源站服务器中,进入网站根目录,根目录是指存放当前网站的文件夹,而不是系统的根目录。
6.2 复制 shell 命令,在服务器内创建验证所需的文件。
7. 添加对应验证记录后,您可以点击下方的验证地址来确认是否可以成功访问到验证文件,确认可访问且验证文件内容正确后,再进行下一步。
8. 点击验证,在验证通过后,即完成免费证书申请,然后再点击保存,将该证书下发至当前域名,等待域名部署完成后,该域名即可使用 HTTPS 访问。
相关参考
免费证书申请失败的常见原因
如果免费证书申请出现失败,可根据失败的提示按照以下原因及解决方案进行排查:
说明:
除了以下常见失败原因,建议同时检查以下这两个可能的原因,这两个原因也将影响免费证书的签发:
如果您的域名配置了 DNSSEC,请检查并确保 DNSSEC 的配置无误,否则会因为当前域名无法正确解析导致免费证书申请失败。
检查当前域名是否配置了 CAA 记录,如果已配置 CAA 记录,请确保已经允许由 TrustAsia 和 Let's Encrypt 签发免费证书,例如:当前域名仅允许由 TrustAsia 和 Let's Encrypt 签发证书时,可添加如下两条 CAA 记录:
0 issue "digicert.com"或者0 issue "letsencrypt.org"。失败提示 | 可能的失败原因 | 解决方案 |
当前站点仅支持通过 DNS 委派验证的方式申请泛域名证书,请重新选择免费证书验证方式。 | 由于泛域名的免费证书仅支持使用 DNS 验证的方式申请,如果站点从 NS 接入模式切换为 CNAME 接入,需要使用 DNS 委派验证的方式进行申请,未配置 DNS 委派记录的情况下,会导致证书申请失败。 | 重新申请免费证书,选择使用 DNS 委派验证方式,并完成对应的 DNS 委派记录配置。 |
DNS 委派记录校验失败,请确保已添加 DNS 委派记录,如果已添加完成,请等待记录生效后重试。 | 还未配置或者已删除了 DNS 委派验证记录,导致证书申请失败。 | 重新申请免费证书,选择使用 DNS 委派验证方式,并完成对应的 DNS 委派记录配置。 |
| DNS 记录还未生效, DNS 记录配置生效后需要一定时间,通常为 5-10 分钟,最长不超过 48 小时。 | 等待 DNS 记录生效后,再进行验证即可。 |
等待 CA 签发证书,请稍后重试。 | 已提交 CA 验证,正在等待 CA 机构签发证书。 | 等待一段时间后再重试。 |
CA 验证彻底失败或者超出时间限制,请重新申请证书。 | 提交到 CA 机构验证时,由于 CA 机构无法校验到验证值,拒绝签发证书且关闭了当前的证书申请订单,导致本次申请证书失败。 | 重新申请证书。 |
自动验证失败,请确保已配置域名 CNAME 且避免使用分线路解析,如果已添加完成,请等待 CNAME 生效后重试。 | 由于 CA 机构的验证服务器主要分布在中国大陆以外区域,如果由于当前域名配置了分线路/分区域解析,将导致验证机构无法访问到指定的验证文件,导致验证失败。 | 方案一:将所有区域的域名解析全部指向 EO,特别是北美 方案二:采用 DNS 委派验证的方式申请免费证书。 |
| 未按照指引正确配置 CNAME。 | |
| 已正确配置 CNAME,在配置 DNS 解析记录后,通常需要 5-10 分钟的生效时间,需要等待完全生效后才能验证通过。 | 确认配置正确的情况下,等待 DNS 配置完全生效即可。 |
| 当前域名配置有安全策略,明确只允许来源于指定地区的请求访问,导致了 CA 机构无法访问到指定的验证值,从而申请失败。 | 方案一:检查当前域名的安全策略并关闭拦截 CA 验证请求的策略。 方案二:采用 DNS 委派验证的方式申请免费证书。 |
DNS 服务器未正确指向 EdgeOne。 | 主要出现在 NS 接入模式下,由于当前域名的 NS 服务器还未正确指向 EdgeOne,会导致 DNS 记录无法正常生效,因此证书验证失败。 | 修改 NS 服务器指向 EdgeOne。 |
DNS 服务器未正确指向 DNSPod。 | 主要出现在 DNSPod 托管接入模式下,由于当前域名的 NS 服务器未正确指向 DNSPod,会导致 DNS 记录无法正常生效,因此证书验证失败。 | 修改 NS 服务器指向 DNSPod。 |
DNS 校验未通过,请稍后重试。 | 可能是由于当前的 DNS 记录还未生效,在切换 NS 服务器后,NS 服务器通常需要 0-48 小时才能完全生效,生效后才能使对应的 DNS 记录生效。 | 等待 NS 服务器完全生效后,再重新申请免费证书。 |
文件验证未通过。 | 在使用文件验证的方式时,指定的文件地址无法访问或者访问的文件内容不正确。 | 在使用文件验证时,确保可访问到指定的验证文件。 |
创建 TXT 验证记录失败。 | 在 NS/ DNSPod 托管接入模式下,申请免费证书时,EdgeOne 将自动在 DNSPod 内创建证书验证所需的 TXT 记录,可能由于记录冲突、TXT 记录长度超出上限等原因导致创建失败。 | 1.检查是否存在记录与当前需创建的 TXT 验证记录相冲突,删除冲突的记录; 2.检查当前需要创建的主机记录下已存在的 TXT 记录数量,在 DNSPod 内,TXT 记录总长度不允许超出 4096 字节,可以删除多余的 TXT 记录后重试; 3.如果是 DNSPod 托管接入模式,可检查当前是否存在预设角色TEO_QCSLinkedRoleInDnspodAccessEO,EO 将通过该角色为您自动创建验证所需的 TXT 记录。 |
申请失败,请重试。 | 其它未知错误。 | |
文档反馈