HTTPS证书

速盾网络团队

HTTPS证书

SSL/TLS证书对用户与Sundun边缘服务器之间的流量进行加密，确保通信安全。本指南涵盖证书管理选项及配置方法。

证书选项

Sundun提供多种证书管理方案：

选项	说明	适用场景
Sundun通用SSL	免费自动配置的证书	大多数网站
自定义证书	上传自有证书	特定合规要求
专用证书	单租户专用证书	企业、金融服务

Sundun通用SSL

通用SSL证书将自动为Sundun上的所有域名配置。这些证书：

在域名激活后15分钟内签发
到期前30天自动续期
支持现代TLS版本（TLS 1.2、TLS 1.3）
包含主域名和通配符覆盖

启用通用SSL

通用SSL默认启用。验证方法：

进入域名 → 选择您的域名
导航至SSL/TLS标签页
确认"通用SSL"显示为已激活

证书覆盖范围

通用SSL证书覆盖：

code

example.com ✓ 已覆盖 www.example.com ✓ 已覆盖 *.example.com ✓ 已覆盖（通配符） sub.sub.example.com ✗ 未覆盖（多级子域名）

注意：对于多级子域名（如api.v2.example.com），请使用自定义证书或单独添加每个子域名。

自定义证书

上传自有SSL证书可完全控制证书颁发机构、有效期和主题信息。

支持格式

格式	扩展名	说明
PEM	.pem, .crt, .cer	Base64编码，最常用
PKCS#7	.p7b, .p7c	证书链格式

上传自定义证书

进入域名 → 选择您的域名
导航至SSL/TLS → 自定义证书
点击上传证书
提供以下内容：

code

┌─────────────────────────────────────────────────┐ │ 证书（PEM格式） │ │ ┌───────────────────────────────────────────┐ │ │ │ -----BEGIN CERTIFICATE----- │ │ │ │ MIIFjTCCA3WgAwIBAgIRANOxciY0... │ │ │ │ -----END CERTIFICATE----- │ │ │ └───────────────────────────────────────────┘ │ │ │ │ 私钥（PEM格式） │ │ ┌───────────────────────────────────────────┐ │ │ │ -----BEGIN RSA PRIVATE KEY----- │ │ │ │ MIIEowIBAAKCAQEA0Z3VS0... │ │ │ │ -----END RSA PRIVATE KEY----- │ │ │ └───────────────────────────────────────────┘ │ │ │ │ 证书链（可选） │ │ ┌───────────────────────────────────────────┐ │ │ │ 中间证书和根证书 │ │ │ └───────────────────────────────────────────┘ │ └─────────────────────────────────────────────────┘

证书要求

RSA密钥：至少2048位（推荐4096位）
ECDSA密钥：P-256或P-384曲线
有效期：不得过期
域名匹配：证书CN或SAN必须与您的域名匹配

证书链

对于自定义证书，需包含完整证书链：

code

您的证书（叶证书） ↓ 中间证书 ↓ 根证书（通常不需要）

正确的链顺序：

code

TLS配置

最低TLS版本

配置可接受的最低TLS版本：

版本	推荐建议	浏览器支持
TLS 1.0	不推荐	仅旧版支持
TLS 1.1	不推荐	已弃用
TLS 1.2	最低推荐标准	98%+ 浏览器
TLS 1.3	最佳安全性	95%+ 浏览器

配置步骤：

进入 SSL/TLS → 边缘证书
将 最低 TLS 版本 设置为所需级别

加密套件

Sundun 默认支持现代加密套件：

TLS 1.3 加密套件：

TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_CHACHA20_POLY1305_SHA256

TLS 1.2 加密套件：

ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-CHACHA20-POLY1305

SSL 模式

配置 Sundun 连接源服务器的方式：

模式	边缘 ↔ 用户	边缘 ↔ 源站	适用场景
关闭	HTTP	HTTP	不推荐
灵活	HTTPS	HTTP	源站无 SSL
完全	HTTPS	HTTPS	源站使用自签名证书
完全（严格）	HTTPS	HTTPS（已验证）	生产环境推荐

设置 SSL 模式

进入 SSL/TLS → 概览
选择合适的模式
点击保存

建议：生产环境始终使用“完全（严格）”模式，确保证书验证的端到端加密。

HTTPS 重定向

强制所有流量使用 HTTPS：

始终使用 HTTPS

将所有 HTTP 请求重定向至 HTTPS：

code

http://example.com → https://example.com（301 重定向）

在 SSL/TLS → 边缘证书 → 始终使用 HTTPS 中启用

HSTS（HTTP 严格传输安全）

启用 HSTS 指示浏览器始终使用 HTTPS：

code

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

配置 HSTS 设置：

最长有效期：浏览器记忆仅使用 HTTPS 的时长（建议：1 年）
包含子域名：应用于所有子域名
预加载：提交至浏览器预加载列表

证书监控

到期提醒

Sundun 监控证书到期时间并发送提醒：

到期前 30 天：邮件通知
到期前 14 天：控制台警告
到期前 7 天：严重警报

证书状态

在控制台中检查证书状态：

状态	说明
有效	证书有效且正在服务流量
待处理	证书正在配置中
即将到期	证书将在 30 天内到期
已过期	证书已过期
错误	配置失败

故障排除

证书无法配置

确认域名所有权已验证
检查 CNAME 记录是否指向 Sundun
确保没有 CAA 记录阻止签发
等待最多 15 分钟以完成传播

混合内容警告

如果浏览器显示混合内容警告：

将所有资源 URL 更新为使用 HTTPS
使用协议相对 URL（//example.com/resource）
在控制台中启用“自动 HTTPS 重写”

证书链错误

bash

# 验证证书链 openssl s_client -connect example.com:443 -servername example.com # 检查链问题 openssl verify -CAfile chain.pem certificate.pem

API 参考

通过 API 管理证书：

bash

# 列出证书 curl -X GET https://api.Sundun.com/v1/domains/example.com/certificates \ -H "Authorization: Bearer YOUR_API_KEY" # 上传自定义证书 curl -X POST https://api.Sundun.com/v1/domains/example.com/certificates \ -H "Authorization: Bearer YOUR_API_KEY" \ -H "Content-Type: application/json" \ -d '{ "certificate": "-----BEGIN CERTIFICATE-----...", "private_key": "-----BEGIN RSA PRIVATE KEY-----...", "chain": "-----BEGIN CERTIFICATE-----..." }'

需要 SSL/TLS 帮助？请联系 support@Sundun.com