安恒云waf上传证书并绑定域名的完整流程含多域名证书管理建议

1.

准备工作与前置条件

（1）确认已有证书文件：私钥（.key）、证书（.crt/.pem）、中间证书链（.ca.pem）；
（2）检查证书类型：单域、通配符或SAN多域名证书；
（3）验证域名解析指向：A/AAAA指向服务器或CDN回源IP；
（4）确保WAF账号权限：具有证书管理与域名绑定权限；
（5）准备服务器信息：回源主机IP、端口（如80/443）及虚拟主机配置；
（6）建议备份：本地保存证书原始文件及私钥，设置访问控制。

2.

证书格式转换与校验

（1）若CA提供的是.pfx，可用openssl转换：openssl pkcs12 -in cert.pfx -nocerts -out privkey.pem -nodes；
（2）导出公钥证书：openssl pkcs12 -in cert.pfx -clcerts -nokeys -out cert.pem；
（3）合并证书链：cat cert.pem intermediate.pem > fullchain.pem；
（4）校验私钥与证书匹配：openssl rsa -noout -modulus -in privkey.pem | openssl md5 与 openssl x509 -noout -modulus -in cert.pem | openssl md5 比对；
（5）确保证书有效期：openssl x509 -noout -dates -in cert.pem，记录到监控系统。

3.

在安恒云WAF控制台上传证书的步骤

（1）登录控制台，进入“证书管理”模块；
（2）选择“上传证书”，填写证书名称与描述；
（3）按要求分别粘贴私钥、证书及中间链或上传fullchain.pem；
（4）提交后检查状态为“可用”，若错误查看日志提示并重新上传；
（5）记录证书ID与到期时间，加入告警策略。

4.

绑定域名到WAF并回源配置

（1）进入“域名管理”，新建域名并选择已上传证书；
（2）设置监听端口与协议（HTTP/HTTPS），启用强制HTTPS与HTTP2可选；
（3）回源类型选择：IP回源/主机名回源，填写回源地址与端口；
（4）配置健康检查（例如每30s检测 /health，阈值3次失败）；
（5）应用并发布，修改DNS至WAF提供的CNAME或A记录；检验生效。

5.

多域名证书与证书管理建议

（1）优先使用SAN多域或通配符减少证书数量与更新频率；
（2）对不同业务线可使用独立证书，便于隔离与权限控制；
（3）证书到期统一管理：将到期日、域名、证书ID写入CMDB并配置提前30/7天告警；
（4）自动化续签：对Let's Encrypt可用ACME脚本结合WAF API自动上传证书；
（5）密钥管理：私钥存储于KMS或加密存储，限制下载权限与审计。

6.

与CDN、DDoS防护的联动与注意事项

（1）CDN前置时确保证书在CDN与WAF/回源都正确配置；
（2）回源采用HTTPS时开启证书校验或使用自签证书并在WAF信任；
（3）DDoS高峰期间可开启WAF精准阈值、挑战页与速率限制；
（4）公网带宽与回源服务器规格要能承载并发峰值；
（5）建议在WAF与CDN都配置访问日志并集中到ELK/SIEM用于异常流量分析。

7.

真实案例与服务器配置示例

（1）案例概述：电商站点shop.example.com在促销期间流量峰值为每秒1200 RPS；
（2）采用方案：前端使用CDN+安恒云WAF，回源四台Nginx后端，开启WAF速率与Bot管理；
（3）监测结果：DDoS攻击被WAF拦截，回源带宽由原200Mbps降至平均60Mbps；
（4）续签策略：使用ACME自动续期上传证书并在CI/CD完成回滚测试；
（5）下表为后端服务器配置与证书信息示例：

8.

总结与最佳实践

（1）证书上传前务必完成格式转换与匹配校验；
（2）优选SAN或通配符证书以降低运维成本；
（3）将证书生命周期纳入监控与告警体系；
（4）与CDN、DDoS防护联动测试并定期演练流量过载场景；
（5）建立自动化流程（续签->上传->回滚测试->发布）确保0停机。