CDN开启后HTTPS证书还要自己配置吗？个人开发者必看

刚部署完网站准备上线的小项目创业者，往往会遇到一个问题：CDN服务已经启用，但浏览器仍提示“不安全”，原因通常在于HTTPS证书未主动配置。

CDN和HTTPS的关系是什么？

CDN本身只负责内容分发加速，不自动提供加密能力。即使你已为源站配置了HTTPS，CDN节点与用户之间的连接仍需单独配置证书，否则用户访问的是CDN边缘节点，而非源站，加密链路无法建立。

开启CDN后如何配置HTTPS证书？

1. 准备PEM格式证书：包括服务器证书和中间证书（如有），拼接顺序为“服务器证书在前，中间证书在后”，不能有空行；私钥需为PEM格式，以-----BEGIN RSA PRIVATE KEY-----开头。
2. 进入CDN控制台的HTTPS配置页面：找到对应加速域名，在HTTPS设置中上传证书和私钥，或从已托管的证书列表中选择。
3. 选择回源协议：若源站支持HTTPS，建议设为“协议跟随”；若源站仅支持HTTP，则需明确指定回源方式为HTTP，避免回源失败。

配置完成后，通常几分钟内生效。可通过浏览器直接访问https://你的加速域名验证是否显示锁形图标。

常见误区与注意事项

• 误以为源站有HTTPS，CDN就自动继承：CDN是独立的接入层，必须单独配置证书。
• 证书格式错误导致配置失败：仅支持PEM格式，其他格式（如PFX、JKS）需先转换。
• 忽略证书域名匹配：证书绑定的域名必须与CDN加速域名完全一致，或包含通配符（如.example.com）。

对于使用对象存储（如OSS、COS）作为源站的用户，还需在存储服务中完成证书托管，才能实现端到端HTTPS。请参考相关平台的官方活动页面：curl.qcloud.com/jEVGu7kK 或 www.aliyun.com/minisite/goods。

FAQ

CDN开启HTTPS会产生额外费用吗？

是的，HTTPS请求通常按量计费，独立于流量费用，具体计费方式需参考官方最新规格。

可以使用免费证书吗？

可以，只要证书由可信CA签发、在有效期内、且域名匹配，免费证书（如Let's Encrypt）同样适用，但需自行完成申请和格式转换。

配置后网站打不开怎么办？

首先检查证书是否正确上传、域名是否匹配；其次确认回源协议是否与源站支持的协议一致；最后查看CDN是否已完成CNAME解析。

私钥泄露了怎么办？

立即在CDN控制台更换新证书，并在证书颁发机构处吊销旧证书，避免被恶意利用。

多个子域名能用一张证书吗？

可以，使用通配符证书（如.yourdomain.com）即可覆盖所有一级子域名，但不包括二级子域（如api.dev.yourdomain.com）。