【产品技术】如何添加防护域名或更新证书

举报
懒宅君 发表于 2020/06/27 15:36:39 2020/06/27
【摘要】 证书推送成功后,需要在WAF中,勾选HTTPS协议,并选择已推送的证书。添加防护域名:如果域名未在WAF中添加,则请参见本文内容进行操作。更新证书:如果您的域名已在WAF中添加成功(已添加的域名与证书绑定的域名一一对应),且“对外协议”使用了HTTPS协议,则可参见本文内容将证书更换成已推送的证书。添加防护域名前提条件已获取管理控制台的账号和密码。已完成证书推送。已购买Web应用防火墙服务。...

证书推送成功后,需要在WAF中,勾选HTTPS协议,并选择已推送的证书。

  • 添加防护域名:如果域名未在WAF中添加,则请参见本文内容进行操作。

  • 更新证书:如果您的域名已在WAF中添加成功(已添加的域名与证书绑定的域名一一对应),且“对外协议”使用了HTTPS协议,则可参见本文内容将证书更换成已推送的证书。

添加防护域名

前提条件

  • 已获取管理控制台的账号和密码。

  • 已完成证书推送。

  • 已购买Web应用防火墙服务。

image.png

添加防护域名,配置域名基本信息

image.png

    • 防护域名”:输入证书绑定的域名。

    • 端口”:可选参数,仅当勾选“非标准端口”时需要配置。

对外协议”选择“HTTPS”时,WAF默认防护“443”标准端口的业务。

如需配置除“443”以外的端口,勾选“非标准端口”,在“端口”下拉列表中选择非标准端口。

    • 服务器配置”:网站服务器地址的配置。包括对外协议、源站协议、源站地址和源站端口。

此处,“对外协议”请选择“HTTPS”协议。

    • 证书名称”:单击右侧的http://10.88.194.32:7088/idp-edit-service/editor/image/33064637464/A-1_1_zh-cn_image_0177503299.png,并选择已推送的证书。

    • 是否已使用代理”:接入Web应用防火墙的网站已使用CDN(Content Delivery Network,内容分发网络)、云加速等代理。

默认值为“否”。

  1. 单击“下一步”,进入“域名接入”页面,同时在页面的右上角,会弹出“域名添加成功”。

  2. 到该域名的DNS服务商处,配置防护域名的别名解析

    • 如果使用了CDN或高防等代理类服务

可前往使用的代理处,将该代理的回源地址修改为的WAF提供的CNAME地址。


      • 为了确保WAF转发正常,在修改DNS解析配置前,建议参照本地验证本地验证进行本地验证确保一切配置正常。

      • 为了防止其他用户提前将您的域名配置到Web应用防火墙上,从而对您的域名防护造成干扰,建议您到DNS服务商处添加“子域名”,并为它配置“TXT记录”。WAF会据此判断域名的所有权真正属于哪个用户。具体的配置方法请参见未配置子域名和TXT记录的影响未配置子域名和TXT记录的影响。

image.png

image.png

    • 未使用代理,页面下图示。

需要到该域名的DNS服务商处,配置防护域名的别名解析,具体操作请咨询域名服务提供商。


为了确保WAF转发正常,在修改DNS解析配置前,建议参照本地验证本地验证进行本地验证确保一切配置正常。


image.png

image.png

以下为华为云DNS的CNAME绑定方法,仅供参考。如与实际配置不符,请以各自域名服务商的信息为准。

      1. 进入云解析页面的入口。

      1. 在目标域名所在行的“操作”列,单击“修改”,进入“修改记录集”页面。

      2. 在弹出的“修改记录集”对话框中修改记录值。

        • 主机记录”:在WAF中配置的域名。

        • 类型”:选择“CNAME-将域名指向另外一个域名”。

        • 线路类型”:全网默认。

        • “TTL(秒)”:一般建议设置为5分钟,TTL值越大,则DNS记录的同步和更新越慢。

        • 值”:修改为已复制的WAF CNAME地址。

        • 其他的设置保持不变。


关于修改解析记录:

        • 对于同一个主机记录,CNAME解析记录不能重复,您需要将已存在的解析记录的CNAME修改为WAF CNAME地址。

        • 同一解析记录下,不同DNS解析记录类型间可能存在冲突。例如,对于同一个主机记录,CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法直接修改记录类型的情况下,您可以先删除存在冲突的其他记录,再添加一条新的CNAME记录。删除其他解析记录并新增CNAME解析记录的过程应尽可能在短时间内完成。如果删除A记录后没有添加CNAME解析记录,可能导致域名无法正常解析。

域名解析类型的限制规则请参见为什么会提示解析记录集已经存在?为什么会提示解析记录集已经存在?。

      1. 完成DNS配置,等待DNS解析记录生效。

  1. (可选)验证域名的CNAME是否配置成功。

    1. 在Windows操作系统中,选择“开始 > 运行”,在弹出框中输入“cmd”,按“Enter”。

    2. 执行nslookup命令,查询CNAME。如果回显的域名是配置的CNAME,则表示配置成功。

以域名www.example.com为例。

nslookup www.example.com


      • 默认情况下,服务每隔一小时就会自动检测每个防护域名的“接入状态”。

      • 一般情况下,如果您确认已完成域名接入,“接入状态”为“已接入”,表示域名接入成功。

  1. 域名接入完成后,单击“下一步”。

  2. 单击“完成”,防护域名添加成功。

更新证书

如果您的域名已在Web应用防火墙中添加成功(已添加的域名与证书绑定的域名一一对应),且“对外协议”使用了HTTPS协议,则可参见本部分内容将证书更换成已推送的证书。

前提条件

  • 已获取Console的账号和密码。

  • 已完成证书推送。

  • 已购买Web应用防火墙服务。如未购买,则请参见购买Web应用防火墙购买Web应用防火墙进行购买。

  • 已在WAF中添加防护域名,且该防护域名跟证书域名一一对应。

  • 对外协议”使用了HTTPS协议。

在证书所在行的证书名称后,更新证书,选择已推送的证书,确认后证书更新完成。

 


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
TCP/IP 域名注册服务 Domains
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

确认 取消

加入云驻计划,成为创作者

  • 华为云周边好礼
  • 免费体验产品
  • 特殊身份标识
  • 线下官方门票
  • 内部专家零距离
  • 与10000+优质创作者共同成长
立即加入