本文介绍HTTPS双向认证功能原理。 功能介绍 双向认证，顾名思义，即客户端与服务器双方均需认证对方的身份，在确认对方身份后才可以建立HTTPS连接。在标准的HTTPS中，通常采用单向认证的方式，即服务器向客户端证明自己的身份以建立一个安全加密的通信连接；双向认证在服务器向客户端证明身份的基础上，还需要客户端也提供客户端证书，供服务器验证客户端的身份，客户端与服务器双方都验证通过对方的身份后，才建立HTTPS连接。 单向认证流程： 1. 客户端向全站加速节点发起HTTPS请求。 2. 全站加速节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥正确后，随机生成一个密钥，并使用公钥进行加密后发送给全站加速节点。 4. 全站加速节点使用对应私钥进行解密，得到密钥。 5. 客户端与全站加速节点在后续通信过程中使用该密钥对传输的数据加密。 6. 客户端与全站加速节点使用对应密钥对收到的数据进行解密，获取对应数据。 双向认证流程： 1. 客户端向全站加速节点发起HTTPS请求。 2. 全站加速节点将对应域名的SSL证书公钥发送给客户端，并发送证书请求标记要求获取客户端证书。 3. 客户端验证域名的SSL证书公钥正确后，随机生成一个密钥A，并使用SSL证书公钥进行加密后发送给全站加速节点。同时客户端收到证书请求标记，将发送对应的客户端证书给全站加速节点，同时计算历史消息的hash值，将该hash值通过客户端私钥签名，并将签名结果也发送给全站加速节点。 4. 全站加速节点使用域名SSL证书对应的私钥进行解密，得到密钥A。同时获取客户端的证书和签名后，验证客户端证书是否可信，并使用客户端证书公钥和历史消息的hash值校验签名是否正确，存储验证结果。 5. 客户端与全站加速节点在后续通信过程中使用该密钥A对传输的数据加密。 6. 客户端与全站加速节点使用对应密钥A对收到的数据进行解密，获取对应数据。 7. 后续客户端发送请求，如果之前验证是通过的则正常处理，否则立即返回错误响应，告诉客户端双向认证失败。

服务名称 交互功能 虚拟私有云（Virtual Private Cloud, VPC） 您通过企业交换机可以建立云下IDC和云上VPC之间的二层网络。 云专线（Direct Connect, DC） 通过云专线在云下IDC和云上VPC之间实现三层网络通信，基于三层网络，企业交换机建立云下和云上之间的二层网络。 虚拟专用网络（Virtual Private Network, VPN） 通过VPN在云下IDC和云上VPC之间实现三层网络通信，基于三层网络，企业交换机建立云下和云上之间的二层网络。 统一身份认证服务（Identity and Access Management, IAM） 针对云上的企业交换机资源，您可以通过IAM进行权限管理，即为不同的用户设置不同的使用权限，权限管理有助于实现资源的安全管控。

本文指导您如何上传已有SSL证书至证书管理服务控制台。 您可以将线下的SSL证书（已在其他平台购买并签发的SSL证书）上传至证书管理服务控制台进行统一管理。 证书上传后，支持查看证书详情，上传后的证书支持一键部署到天翼云服务。 约束限制 不支持上传已过期的证书。 已上传的证书不支持重复上传。 前提条件 目前仅支持上传PEM格式的证书。若证书为其他格式，需要转换成PEM格式后才能上传，详细操作请参见SSL证书格式转换。 操作步骤 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > 上传证书”。 3. 单击“上传证书”，页面右侧弹出上传证书窗口。 4. 在上传证书窗口中，选择证书标准、配置证书名称。 参数 说明 证书标准 支持上传“国际标准”和“国密标准”的证书。 证书名称 自定义证书的名称。 名称仅支持英文、数字、“.”、“”、“”，长度为215个字符。 5. 上传证书文件。 证书标准 需要上传的文件 格式说明 上传说明 国际标准 证书文件 证书里的PEM格式的文件（后缀名为“.pem”） 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 国际标准 证书私钥 证书里的KEY格式的文件（后缀名为“.key”） 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 国际标准 证书链 可选，若有则上传 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 国密标准 证书文件 证书里的签名证书文件（后缀名为“.pem”） 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 国密标准 证书私钥 证书里的签名私钥文件（后缀名为“.key”） 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 国密标准 加密证书 证书里的加密证书文件（后缀名为“.pem”） 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 国密标准 加密私钥 证书里的加密私钥文件（后缀名为“.key”） 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 国密标准 证书链 可选，若有则上传 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 6. 填写完成后，单击“确认”。 待证书状态为“上传成功”时，操作完成。

本文为您介绍冗余组与冗余链路,以及如何使用。 冗余组与冗余链路 冗余组： 一组逻辑关联的网络实例（如云专线、VPN、SDWAN），通过主备或负载均衡机制提供高可用性，可有效管控组内实例的路由传播与故障切换策略。 冗余链路： 隶属于冗余组、为关键通信路径配置的备用物理 / 逻辑链路，在主链路故障时接管流量，保障业务不中断。 典型实现： 主备模式：备用链路平时闲置，故障时激活。 负载均衡模式：多条链路同时分担流量。 使用限制 支持配置冗余链路的网络实例类型：云专线（CDA）、VPN连接、SDWAN。 支持三种模式：云专线与云专线、云专线与 VPN 连接、云专线与 SDWAN。 同一冗余组内的网络实例默认隔离路由传播。 仅支持同一地域（Region）内的冗余链路配置（支持跨可用区 AZ 部署）。 冗余组内的链路必须关联到相同的云企业路由器中的路由表。 创建冗余组 操作步骤： 1. 登录控制中心。 2. 登录云间高速（标准版）管理控制台，并在左侧菜单列表中选择“云间高速（标准版）”。 3. 单击目标云间高速实例名称（或单击目标云间高速实例操作列的“管理”），进入目标实例详情页面。 4. 在云间高速实例详情页面，在“冗余组 ”页签，单击页签区域左上方的“创建冗余组”按钮，弹出创建冗余组页面。 5. 在创建冗余组页面，根据提示信息，填写参数，单击“确定”，完成冗余组的创建。 加载冗余链路

本文介绍如何创建IAM子用户并授予特定权限策略,从而控制对VPN连接资源的访问。 操作步骤 1、创建用户组和IAM用户 1、创建用户组并给用户组授权，具体配置说明详见：创建用户组和授权。 2、创建IAM用户，并使用新创建的用户登录天翼云，具体配置说明详见：创建IAM用户和登录。 2、创建自定义策略 天翼云提供了访问VPN连接资源的系统策略。如果系统策略不能满足需求，您还可以创建自定义策略，具体配置说明详见：创建自定义策略。 目前IAM支持以下两种方式创建自定义策略： 可视化视图：通过可视化视图创建自定义策略，无需了解JSON语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图：通过JSON视图创建自定义策略，可以直接在编辑框内编写JSON格式的策略内容。

4.修改 WordPress 配置文件 a.编辑 wpconfig.php 文件： plaintext vim wpconfig.php b.按i键进入编辑模式。修改下述关于MySQL部分的配置信息，如果有问题可以从wpconfigsample.php文件进行恢复。 plaintext / databasenamehere 修改为实际的数据库名称，本文示例创建为：wordpress define( 'DBNAME', 'databasenamehere' ); / usernamehere 修改为实际创建的用户名，本文示例创建为：user define( 'DBUSER', 'usernamehere' ); / passwordhere 修改为实际创建用户名的密码 define( 'DBPASSWORD', 'passwordhere' ); / localhost 修改为数据库的主机加端口，格式：IP地址 + 端口号，本文示例创建为：192.168.1.11:13049 define( 'DBHOST', 'localhost' ); / utf8 修改为 utf8mb4 define( 'DBCHARSET', 'utf8' ); / '' 添加 utf8mb40900aici，如果你使用的非云数据库，请修改为 utf8mb4unicodeci define( 'DBCOLLATE', '' ); /可选，配置SSL加密连接，把 /path/ca.pem 替换为实际的CA证书路径 /可以参考 步骤三：配置MySQL安全，设置SSL数据加密，下载数据库的证书 define('MYSQLCLIENTFLAGS', MYSQLICLIENTSSL); define('MYSQLSSLCA', '/path/ca.pem'); c.按Esc键，输入:wq后按Enter键，保存退出配置文件。 5.安装并登录 WordPress 网站 a.浏览器访问“ b.配置站点标题、管理员账号、密码和邮箱，并单击“安装 WordPress”。 参数 说明 站点标题 WordPress网站名称。 用户名 WordPress管理员名称。 密码 可以使用默认的密码或者自定义密码。 不建议重复使用现有密码，并确保将密码保存在安全的位置。 您的电子邮箱地址 接收通知的电子邮件地址。

本文主要介绍 删除Topic。 本章节指导您删除Topic，请根据实际情况选择以下任意一种方式： 在控制台删除 在Kafka客户端上删除 前提条件 已创建Kafka实例，并且已创建Topic。 只有运行中的实例才可以删除Topic。 在控制台删除 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击Kafka实例的名称，进入实例详情页面。 步骤 5 选择“Topic管理”页签，显示已创建的Topic详情。 步骤 6 通过以下任意一种方法，删除Topic。 勾选Topic名称左侧的方框，可选一个或多个，单击信息栏左上侧的“删除Topic”。 在待删除Topic所在行，单击“更多 > 删除”。 步骤 7 在“删除Topic”对话框中，单击“是”，确认删除Topic。 在Kafka客户端上删除 Kafka客户端版本为2.2以上 时，支持通过kafkatopics.sh删除Topic。 未开启SASL的Kafka实例，在“/{命令行工具所在目录}/kafka{version}/bin/”目录下，通过以下命令删除Topic。 ./kafkatopics.sh bootstrapserver {brokerip}:{port} delete topic {topicname} 已开启SASL的Kafka实例，通过以下步骤删除Topic。 （可选）如果已经设置了SSL证书配置，请跳过此步骤。否则请执行以下操作。在Kafka客户端的“/config”目录中创建“ssluserconfig.properties”文件，参考步骤3增加SSL证书配置。 在“/{命令行工具所在目录}/kafka{version}/bin/”目录下，通过以下命令删除Topic。 ./kafkatopics.sh bootstrapserver {brokerip}:{port} delete topic {topicname} commandconfig ./config/ssluserconfig.properties

导出源库数据 步骤 1 登录到已准备的弹性云服务器或可访问源数据库的设备。 步骤 2 使用mongodump工具，备份源数据库中的数据。 此处以SSL连接方式为例进行说明，如果选择普通连接方式，去掉命令中对应的“ssl sslCAFile sslAllowInvalidCertificates ”即可。 ./mongodump host port authenticationDatabase u ssl sslCAFile sslAllowInvalidCertificates db collection gzip archive 表 参数说明 参数 说明 数据库地址。 数据库端口号。 数据库用户名。 存储 信息的数据库，一般为admin。 存放根证书的路径。 需要迁移的数据库名称。 需要迁移的数据库中的集合。 出现如下提示时，输入数据库管理员对应的密码： Enter password: 示例如下，命令执行后，archive 指定的文件即为最终的备份文件，如下命令以backup.tar.gz为例。 ./mongodump host 192.168. xx . xx port 8635 authenticationDatabase admin u rwuser ssl sslCAFile/tmp/ca.crt sslAllowInvalidCertificates db test collection usertable gzip archivebackup.tar.gz 20190304T18:42:10.687+0800 writing admin.system.users to 20190304T18:42:10.688+0800 done dumping admin.system.users (1 document) 20190304T18:42:10.688+0800 writing admin.system.roles to 20190304T18:42:10.690+0800 done dumping admin.system.roles (0 documents) 20190304T18:42:10.690+0800 writing admin.system.version to 20190304T18:42:10.691+0800 done dumping admin.system.version (2 documents) 20190304T18:42:10.691+0800 writing test.testcollection to 20190304T18:42:10.691+0800 writing admin.system.profile to 20190304T18:42:10.692+0800 done dumping admin.system.profile (4 documents) 20190304T18:42:10.695+0800 done dumping test.testcollection (198 documents)

常见问题 绑定域名失败常见原因：未将独立域名CNAME解析到分组的调试域名上或域名重复。 添加SSL证书失败常见原因：生成证书的域名和实际添加证书所用的域名不一致。 支持http to https自动重定向 约束限制 由于浏览器限制，非GET或非HEAD方法的重定向可能导致数据丢失，因此API请求方法限定为GET或HEAD。 开启重定向需满足以下条件： 创建API时，前端配置的请求协议选择“HTTPS”或“HTTP&HTTPS”。 API所属API分组已绑定独立域名和SSL证书。 独立域名绑定完成后，在“支持http to https自动重定向”列开启重定向功能。

天翼云SDWAN为您提供优质的服务体验,本文带您了解产品优势。 灵活接入 支持天翼云自研硬件终端设备、软件vCPE、VPN客户端、政企融合网关、品牌厂商终端等多种接入形态，可根据客户场景灵活适配、即插即用，充分满足小微门店、中大型企业等多元化部署需求。 支持通过各运营商互联网（包括PPPoE拨号方式或配置固定IP方式）、4G/5G无线网络、专线等多种方式实现多链路上联至SDWAN网络接入点 ，满足各类接入需求。 支持同时配置POP组网和IPSec直连组网网络架构，实现混合组网。 成本低廉 利用互联网宽带接入降低成本，同时通过有效利用所有可用网络连接提高链路利用率，满足企业业务需求。 SDWAN网络在客户侧通常采用互联网宽带接入，相比物理专线/专网产品，互联网链路更加便宜，可大幅度降低带宽成本。 SDWAN技术还可以帮助企业有效地利用所有可用的网络连接来满足其业务需求，充分提高链路利用率。 安全传输 通过IPSec VPN加密隧道传输、ACL管理等多项安全措施，保障SDWAN广域网数据传输的安全性和设备接入的安全性。 SDWAN广域网数据通过IPSec VPN加密隧道进行传输，同时支持国产密码算法和商用密码，在链路质量层进行多重安全加固，保障数据传输的安全性； 支持ACL管理，通过配置五元组白名单/黑名单策略，实现对接入流量的管控； 支持容器化部署安全防护能力，可灵活扩容防火墙、入侵检测、访问控制等安全模组，实现安全能力按需加载、弹性扩展。

本页介绍了SSL证书产品的试用规则。 OV证书、DV单域名证书和EV证书均不提供试用。

本文介绍如何购买SSL证书的域名监控服务配额。 操作场景 当域名监控服务配额不足时，请参照本文进行购买。 操作步骤 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > 域名监控服务”，单击“购买域名监控”，进入到证书管理服务产品购买页面。 3. 服务类型选择“域名监控服务”。 4. 选择域名监控服务的购买数量，单次最多可购买100个。 5. 阅读并同意天翼云证书管理服务的服务协议和服务等级协议后，单击“立即购买”下单。 6. 单击“提交订单”，在弹出的“订单详情”页确认订单信息。 7. 单击“立即支付”，完成域名监控服务的购买。 后续操作 购买域名监控服务配额后，即可添加域名对域名进行监控，详细操作请参见添加域名。

云产品 应用场景 描述 优势 对等连接 同区域的VPC互连 对于同一区域的VPC，可以通过对等连接进行互连，同一帐号与不同帐号的连接方式略有差异。 低成本，VPC对等连接免费 低延迟。 云间高速 跨区域的VPC互连 对于不同区域的VPC，不区分是否同一帐号，都可以互连，跨区域连接实现云上网络。 低时延高速率。 云网紧密融合。 高扩展性。 高安全性。 虚拟专用网络VPN 使用公网低成本连接跨区域VPC VPN连接（Virtual Private Network）用于搭建用户本地数据中心与天翼云VPC之间便捷、灵活， 即开即用的IPsec加密连接通道，实现灵活一体，可伸缩的混合云计算环境。 加密通道，安全性高。 低成本。 配置简单。

说明：本章节会介绍如何通过公网连接数据库实例 提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 前提条件 ①　对目标实例绑定弹性公网IP。 ②　获取本地设备的IP地址。 ③　设置安全组规则。 ④　使用ping命令连通1.a中绑定的弹性公网IP地址，确保本地设备可以访问该弹性公网IP地址。 ⑤　使用客户端连接实例。 使用MySQLFront连接实例 步骤 1 启动MySQLFront客户端。 步骤 2 在连接管理对话框中，单击“新建”。 图1 连接管理 步骤 3 输入需要连接的关系型数据库实例信息，然后单击“确定”。 图2 添加信息 表 参数说明 参数 说明 名称 连接数据库的任务名称。若不填写，系统默认与Host一致。 主机 目标实例的弹性公网IP。 端口 输入RDS实例的内网端口。 用户 需要访问RDS实例的账号名称。默认root。 密码 要访问关系型数据库实例的帐号所对应的密码。 步骤 4 在打开登录信息窗口，选中创建的连接，单击“打开”，如下图所示。 若连接信息无误，即会成功连接实例。 图3 打开登录信息 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。 SSL连接 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，单击实例名称进入“基本信息”页面，单击“数据库信息”模块“SSL”处的，下载根证书或捆绑包。 步骤 5 将根证书导入弹性云服务器Linux操作系统。 关系型数据库服务在2017年4月提供了20年有效期的新根证书，该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书，提高系统安全性。 关系型数据库服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 步骤 6 连接关系型数据库实例。以Linux系统为例，执行如下命令。 mysql h P u p sslca 表 参数说明 参数 说明 目标实例的弹性公网IP。 目标实例的数据库端口。 用户名，即关系型数据库帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 使用root用户SSL连接数据库实例，示例如下： mysql h 172.16.0.31 P 3306 u root p sslcaca.pem 出现如下提示时，输入数据库帐号对应的密码： Enter password: 若连接失败，请确保各项前提条件正确配置后，重新尝试连接。

字段 类型 字段说明 描述 accesslog.requestid string 随机ID标识 与攻击日志的“reqid” 字段末尾8个字符一致。 accesslog.time string 访问请求的时间 日志内容记录的GMT时间。 accesslog.connectionrequests string 标识该长链接第几个请求 accesslog.engip string WAF引擎IP accesslog.pid string 标识处理该请求的引擎 引擎（worker PID）。 accesslog.hostid string 访问请求的域名标识 防护域名ID(upstreamid)。 accesslog.tenantid string 防护域名的租户ID 一个账号对应一个租户ID。 accesslog.projectid string 防护域名的项目ID 用户在对应区域下的项目ID。 accesslog.remoteip string 标识请求的四层远端IP 请求的客户端IP。 说明 如果在WAF前部署了7层代理，本字段表示最靠近WAF的代理节点的IP地址。此时，真实访问者IP参考“xforwardedfor”，“xrealip”字段。 accesslog.remoteport string 标识请求的四层远端端口号 请求的客户端端口号。 accesslog.sip string 标识请求的客户端IP 如，XFF等。 accesslog.scheme string 请求协议类型 请求所使用的协议有： http https accesslog.responsecode string 请求响应码 源站返回给WAF的响应状态码。 accesslog.method string 请求方法 请求行中的请求类型。通常为“GET”或“POST”。 accesslog.httphost string 请求的服务器域名 浏览器的地址栏中输入的地址，域名或IP地址。 accesslog.url string 请求URL URL链接中的路径（不包含域名）。 accesslog.requestlength string 请求的长度 包括请求地址、HTTP请求头和请求体的字节数。 accesslog.bytessend string 发送给客户端的总字节数 WAF返回给客户端的总字节数。 accesslog.bodybytessent string 发送给客户端的响应体字节数 WAF返回给客户端的响应体字节数。 accesslog.upstreamaddr string 选择的后端服务器地址 请求所对应的源站IP。例如，WAF回源到ECS，则返回源站ECS的IP。 accesslog.requesttime string 标识请求处理时间 从读取客户端的第一个字节开始计时（单位：s）。 accesslog.upstreamresponsetime string 标识后端服务器响应时间 后端服务器响应WAF请求的时间（单位：s）。 accesslog.upstreamstatus string 标识后端服务器的响应码 后端服务器返回给WAF的响应状态码。 accesslog.upstreamconnecttime string 源站与后端服务建立连接的时间，单位为秒。 在使用SSL的情况下，握手过程所消耗的时间也会被记录下来。多次请求建立的时间，使用逗号分隔。 accesslog.upstreamheadertime string 后端服务器接收到第一个响应头字节的用时，单位为秒。 多次请求响应的时间，使用逗号分隔。 accesslog.bindip string WAF引擎回源IP WAF引擎所使用的回源IP。 accesslog.groupid string 对接LTS服务的日志组ID WAF对接云日志服务日志组ID。 accesslog.accessstreamid string 日志流ID 与“groupid”相关，是日志组下用户的accessstream的ID。 accesslog.engineid string WAF引擎标识 WAF引擎的唯一标识。 accesslog.timeiso8601 string 日志的ISO 8601格式时间 accesslog.sni string 通过SNI请求的域名 accesslog.tlsversion string 建立SSL连接的协议版本 请求所使用的TLS协议版本。 accesslog.sslcurves string 客户端支持的曲线列表 accesslog.sslsessionreused string SSL会话是否被重用。 表示SSL会话是否被重用。 r：是 .：否 accesslog.processtime string 引擎的检测用时（单位：ms） accesslog.args string 标识URL中的参数数据 accesslog.xforwardedfor string 当WAF前部署代理时，代理节点IP链 代理节点IP链，为1个或多个IP组成的字符串。 最左边为最原始客户端的IP地址，代理服务器每成功收到一个请求，就将请求来源IP地址添加到右边。 accesslog.cdnsrcip string 当WAF前部署CDN时CDN识别到的客户端IP 当WAF前部署CDN时，此字段记录的为CDN节点识别到的真实客户端IP。 说明 部分CDN厂商可能使用其他字段，WAF仅记录最常见的字段。 accesslog.xrealip string 当WAF前部署代理时，真实的客户端IP 代理节点识别到的真实客户端IP。 accesslog.intelcrawler string 用于情报反爬虫分析 accesslog.sslciphersmd5 string 标识sslciphers的md5值 accesslog.sslcipher string 标识使用的sslcipher accesslog.webtag string 标识网站名称 accesslog.useragent string 标识请求header中的useragent accesslog.upstreamresponselength string 标识后端响应的大小 accesslog.regionid string 标识请求所属Region accesslog.enterpriseprojectid string 标识请求域名所属企业项目ID accesslog.referer string 标识请求头中的Referer内容 最大长度为128字符，大于128字符会被截断。 accesslog.rule string 标识请求命中的规则 命中多条规则此处也只会显示一条。

可能原因： 当前设备网络连接异常。 本地DNS服务器配置错误。 运营商或网络环境存在限制。 处理建议： 检查设备网络连接是否正常。 尝试切换网络环境（例如从WiFi切换到4G/5G移动数据）。 重启AOne会议客户端。 如果您使用了自定义DNS，请还原为默认设置或使用公共DNS（如 8.8.8.8）。 为什么会出现“校验Token失败：错误编码0x1009”的提示？ 该提示表示AOne会议客户端在进行身份校验时，无法与服务器正常通信，导致Token校验失败。 可能原因： 当前网络连接不稳定或已断开 使用了VPN、代理工具或安全软件，拦截/阻碍了与AOne服务器的通信。 本地系统时间异常，影响认证过程。 处理建议： 检查并确保网络连接稳定且可正常访问互联网。 如果正在使用VPN或代理工具，请暂时关闭它们后重试。 检查并确保系统时间准确（建议开启“自动同步时间”）。 重启AOne会议客户端，再次尝试登录或加入会议。

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云客户控制台开启HTTPS协议，可实现客户端和天翼云全站加速节点之间数据包的安全加密传输。如果想要实现全链路HTTPS传输，则需要在全站加速节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端向全站加速节点发起HTTPS请求。 2. 全站加速节点将对应域名的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则随机生成一个密钥A，并使用公钥加密后发送给全站加速节点。 4. 全站加速节点使用SSL证书对应私钥进行解密，得到密钥A。 5. 客户端与全站加速节点在后续通信过程中使用密钥A对传输的数据加密。 6. 客户端与全站加速节点使用密钥A对收到的数据进行解密，获取对应数据。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】，勾选【请求协议】中的【HTTPS】。 5. 单击右侧【HTTPS配置】，选择域名对应的国际标准证书、国密证书。如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加对应证书。添加完毕后，再选择对应证书，如未找到目标证书，可点击右侧的刷新按钮刷新后再重新选择。 6. 单击【保存】，完成配置。

本章节为您介绍网关服务组的相关操作。 SSL网关服务功能是由网关服务器实现的，而网关服务器则由网关服务器组统一管理，网关服务与网关服务器组是一对一的关系。 提供服务器组的新增、编辑、删除、查看服务器列表，以及服务器的添加、修改、删除、启用/停用等功能。 新增服务器组 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务器组”，单击页面左上角的“新增服务器组”。 3. 在弹出的对话框中填写相关内容。 参数 参数说明 分组名称 自定义服务器组的名称。创建完成后不支持修改。 服务类型 选择服务器组的服务类型。 4. 确认后单击“确定”即完成创建。 相关操作： 服务器组创建完成，您可以根据需要编辑、删除服务器组。 编辑服务器组：选择需要编辑的服务器组，单击“操作”列的“编辑”即可修改。 删除服务器组：选择需要删除的服务器组，单击“操作”列的“删除”即可删除服务器组。 查看服务器列表：点击服务器组右侧的“查看服务器列表”，即可跳转到网关服务器组详情页面。 添加服务器 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务器组”，选择需要添加服务器的服务器组，单击“操作”列的“添加服务器”。 3. 在弹出的对话框中配置服务器的参数。 参数 参数说明 IP 填写密码机的IP地址。 端口 填写密码机的端口。 权重 选择密码机的权重。 描述 自定义密码机的描述。 启用 选择添加后密码机的启用状态。 4. 填写完成后，单击“确定”完成服务器添加。

本节介绍如何吊销SSL证书。 吊销证书指将已签发的证书从CA签发机构处注销。证书吊销后将失去加密效果，浏览器不再信任该证书。 如果您不再需要某张已签发的SSL证书或某张SSL证书密钥丢失或出于其他安全因素考虑，可以在证书管理控制台申请吊销证书。 注意 已签发的证书成功吊销后，若吊销时间距签发时间未超过28个自然日，支持重新申请证书，有且仅有一次重新申请的机会。 前提条件 仅支持状态为“已签发”状态的证书吊销。 吊销域名型（DV）证书 1. 选待吊销的DV证书，在“操作”列中选择“更多 > 吊销”。 2. 弹出证书吊销弹窗，确认待吊销的证书信息。 3. 确认证书仅有一次吊销机会后，勾选确认框。 4. 确认无误后，单击“确认吊销”，完成证书吊销操作。 吊销企业型（OV）证书/增强型（EV）证书 1. 选择待吊销的OV/EV证书，选择“操作”列的“更多 > 吊销”。 2. 在弹出的窗口中确认吊销信息，确认完毕后单击“下载吊销函”。 3. 确认吊销函的内容后，填写相关信息并且上传。 注意 吊销函须确认信息无误并签字保存。 吊销函需要盖公司公章回传。 4. 确认证书仅有一次吊销机会后，勾选确认框。 5. 单击“确认吊销”，完成证书吊销操作。

问题现象 正常登录系统，在主机运维或应用运维列表，单击“登录”，不能正常跳转到运维会话页面。 可能原因 浏览器拦截限制或系统SSL证书过期。 解除浏览器拦截 1. 确认使用浏览器及版本，确认是否在推荐范围内。 浏览器 版本 :: Edge 44及以上版本 Chrome 52.0及以上版本 Safari 10及以上版本 Firefox 50.0及以上版本 2. 打开浏览器检查右上角地址栏，确认是否被浏览器拦截。 3. 根据不同操作系统，解除浏览器拦截。 在Windows系统下，以Chrome浏览器为例，选择“始终允许显示弹出窗口”后即可登录资源。 在macOS系统下，需要先设置Safari浏览器的偏好设置，将“阻止弹出式窗口”去掉勾选框。 更新系统SSL证书 系统默认配置安全的自签发证书，受限于自签发证书的认证保护范围和认证保护时间限制，用户可替换证书。但当证书过期或安全扫描不通过时，用户需更新证书才能确保系统安全。 建议您申购可信任的SSL证书，并及时更新系统Web证书。 应用运维异常，调用程序失败怎么办？ 应用发布程序启动路径配置错误 问题现象 用户配置完成应用发布资源后，通过云堡垒机首次访问应用发布资源，不能正常访问。 可能原因 原因一：应用程序启动路径配置错误。 原因二：配置应用程序非云堡垒机默认支持的应用程序，不支持调用。

本节介绍了云容器引擎的最佳实践：集群网络地址段规划实践。 在云容器引擎创建集群时，需要根据具体业务需求规划VPC大小和数量、子网大小和数量、容器网段和服务网段。本文介绍集群各类地址作用，以及如何规划地址段。 约束与限制 使用VPN方式访问集群时，需注意VPN网络与集群所在的VPC网段、容器网段和服务网段不能冲突。 集群各网段基本概念 VPC网段 虚拟私有云（Virtual Private Cloud，VPC）是隔离的、私密的网络环境，可以自定义网络地址、路由表、安全组等。同时，虚拟私有云提供丰富的网络连接，可以满足云上虚拟私有云互访、公网访问、通过专线或者VPN与线下IDC互通等网络场景。 子网网段 云资源（例如云服务器、数据库服务等）须部署在子网内，同子网内网络默认互通，同VPC下不同子网之间默认互通。子网网段创建后无法修改，请合理规划网络。 下图所示，VPC网段结构： 容器网段（Pod网段） 订购集群时，可指定容器网段（即Pod网段）。针对选择的网络插件，容器网段有不同限制： 1、Calico IPIP隧道网络： 可指定一个私有地址段作为容器网段，该地址段仅在集群内有效。网段大小影响后续可添加节点数及可创建Pod数上线，建议使用大网段，例如172.16.0.0/16，如下所示： VPC网段 容器网段 Service网段 最大可分配Pod地址数 192.168.0.0/16 172.16.0.0/16 10.96.0.0/16 65536 容器网段不能与节点所在的VPC网段重叠。例如节点使用子网网段192.168.1.0/24，所属VPC网段为192.168.0.0/16，则不能使用与192.168.0.0/16重叠的网段作为容器网段。

操作步骤 通过内网连接TaurusDB实例 步骤 1 购买实例。根据业务需求，确认TaurusDB实例的规格、网络配置、数据库帐户配置信息等。 步骤 2设置安全组规则。 ECS与TaurusDB实例在相同安全组时，默认ECS与TaurusDB实例互通，无需设置安全组规则，执行通过内网连接TaurusDB实例。 注意 ECS和TaurusDB实例必须处于同一VPC。 ECS与TaurusDB实例在不同安全组时，需要为TaurusDB和ECS分别设置安全组规则。 设置TaurusDB安全组规则：为TaurusDB所在安全组配置相应的入方向规则。 设置ECS安全组规则：安全组默认规则为出方向上数据报文全部放行，此时，无需对ECS配置安全组规则。当在ECS所在安全组为非默认安全组且出方向规则非全放通 时，需要为ECS所在安全组配置相应的出方向规则。 步骤 3 通过内网连接TaurusDB实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。 通过公网连接TaurusDB实例 步骤 1 购买实例。根据业务需求，确认TaurusDB实例的规格、网络配置、数据库帐户配置信息等。 步骤 2 绑定弹性公网IP。弹性公网IP提供独立的公网IP资源，包括公网IP地址和公网出口带宽服务。可以在虚拟私有云管理控制台申请弹性公网IP并将该弹性公网IP绑定至TaurusDB 实例。 步骤 3 设置安全组规则。从安全组外访问安全组内的TaurusDB实例时，需要为TaurusDB实例所在安全组配置相应的入方向规则。 步骤 4 通过公网连接TaurusDB实例。提供两种连接方式通过MySQL客户端连接实例：普通连接和SSL连接。其中，SSL连接实现了数据加密功能，具有更高的安全性。

本节介绍如何登录数据库审计实例。 购买数据库审计实例后，用户在数据库审计实例页面，点击实例右上角的“管理”即可单点登录进入数据库实例Web控制台。 支持“外网地址登录”、“内网地址登录”。 外网地址登录 注意 外网地址登录需要给实例绑定弹性IP。 1. 登录数据库审计控制台。 2. 找到需要登录的实例，单击“管理 > 外网地址登录”。 内网地址登录 注意 内网地址登录需要确保客户端（个人电脑、手机、平板等）与数据库审计实例网络互通。可通过VPN方式打通客户端与实例的网络，具体操作请参见客户端远程连接VPCVPN连接。 1. 登录数据库审计控制台。 2. 找到需要登录的实例，单击“管理 > 内网地址登录”。

pf6220b4dbc3d30f9)[]( pb8235697629419dc)网络服务区域带宽定价 无 目前套餐不包含非中国内地的带宽，不提供非中国内地节点覆盖，不保证访问效果。 如需非中国内地节点覆盖可订购网络服务远程办公海外区域带宽。 账号数扩展 VPN版（SaaS）：6元/账号/月 基础版（SaaS）：25元/账号/月 企业版（SaaS）：45元/账号/月 VPN版（混合部署）：10元/账号/月 基础版（混合部署）：35元/账号/月 企业版（混合部署）：65元/账号/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、4年5.5折、5年4.5折折扣 账号数仅赠送中国内地流量带宽，如需非中国内地节点覆盖则需订购全球（非中国内地）按需或者带宽扩展包。 若选择流量计费模式，VPN版的账号数扩展赠送流量为10GB/月，基础版的账号数扩展赠送流量为50GB/账号/月，企业版的账号数扩展赠送流量为100GB/账号/月（账号数扩展赠送的流量在订购当月不生效，次月生效）。 若选择带宽计费模式，VPN版的账号数扩展赠送带宽为0.1Mbps/账号/月，基础版的账号数扩展赠送带宽为0.5Mbps/账号/月，企业版的账号数扩展赠送带宽为1Mbps/账号/月。 套餐内账号数不够用时，可通过账号数扩展购买更多账号数授权，账号数指使用零信任服务的账号总人数，一个账号下同时登录多个终端，不占用额外账号数。 短信配额：VPN版本短信30条/帐号/月，基础版本短信60条/帐号/月，企业版本短信150条/帐号/月，短信配额总量所有账号可共享使用。 RBI云端浏览器 并发数计费：35元/个/月 应用计费：4200元/个/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、4年5.5折、5年4.5折折扣 并发数计费和应用计费二选一： 并发数计费：则按照并发个数计费，一个终端打开一个通过RBI访问的页面则为一个并发，一般用于管控人员较少，应用不固定的场景。 应用计费：则不根据使用的并发情况，而是根据配置的应用，如配置内网系统A则为一个应用或访问互联网也为一个应用，一般用于保障的应用地址明确，用户并发数不希望进行限制的场景。 短信套餐包 中国内地 55元/个/月 无 短信按月套餐包，包含的短信数量规格为1000条/个/月，订购后资源实时生效，本月分配的短信额度若未用尽将会在月底清空，无法累计到次月，请按实际需求合理订购。 短信套餐包退订时，若退订当月套餐包内短信额度已被使用，则退订当月金额不支持退回，系统会扣除退订当月费用，退回剩余订购时长的资费。 短信资源包 中国内地 1000元/个，包含20000条短信数量，自购买起1年内有效 无 短信资源包订购超过7天后不支持退订，详细规则请参考短信服务退订说明。 短信服务按需 中国内地 0.06元/条 无 短信按需服务，开启后，当月短信发送数量超过每月可发送的短信额度时，超过的短信按每条0.06元收费，若未订购服务按需，短信超量后将不再发送短信。

本页介绍了常用的文档数据库服务连接方法。 常用的文档数据库服务连接方法有： mongo shell 客户端工具。通过这种方式连接后，可以执行 mongo 命令，适合一些常见的运维场景。 mongo driver。支持常见编程语言的接入，适合数据库开发人员。 使用 mongo shell 连接 用户在文档数据库服务控制台上点击实例，在基本信息页面可以获取连接实例的 url。 可以通过 mongo + url 的方式连接到文档数据库服务实例： mongo " " 建议连接时使用双引号将 mongo url 括起来，否则可能会由于 & 等特殊字符导致连接失败。 如果用户开启了 SSL， 则需要下载 SSL 证书，并在连接命令中指定对应参数，如下： mongo " " ssl sslCAFile sslAllowInvalidHostnames 成功连接之后，可以通过客户端命令操作文档数据库服务。 使用 mongo driver 连接 文档数据库服务实例支持多种编程语言的 driver，用户可以根据自己使用的编程语言，下载对应的 driver 进行开发。 本文以 Python 语言为例，说明如何连接文档数据库服务。 首先在机器上安装 pymongo 库，然后再 python 代码中使用 pymongo 库连接实例，并执行 isMaster 命令。示例如下： !/bin/env python coding:utf8 import pymongo if name 'main': client pymongo.MongoClient(" ", ) client.admin.authenticate("root", "xxxxxxx") res client.admin.command("isMaster") print(res) client.close()

天翼云关系数据库MySQL版提供两种通过内网连接MySQL实例的方式，即使用普通连接和SSL连接方式通过MySQL客户端连接实例。其中，SSL连接实现了数据加密功能，具有更高的安全性。本文为您介绍如何通过弹性云主机通过内网连接关系数据库MySQL实例。 普通连接 使用MySQL客户端连接MySQL实例与连接普通的MySQL数据库没有区别。 1. 登录云主机。 2. 连接MySQL数据库实例。 plaintext 打开命令行输入窗口，执行如下命令连接MySQL实例。 mysql h P u p 参数说明如下： 参数 说明 主机IP，即关系数据库MySQL版实例实例管理 页面下，该集群对应的实例列表中，主机的连接地址。 数据库端口，为实例基本信息 页面中的数据库端口 。 用户名，即MySQL数据库帐号（默认管理员帐号为root）。 密码，即数据库帐号对应的密码，为创建数据库实例时指定的密码。 若使用root用户普通连接数据库实例，示例如下： plaintext mysql h 172.16.X.X P 8635 u root –p ‘’ SSL连接 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例管理 页面，单击实例名称进入实例的基本信息 页面，然后在网络 区域单击SSL状态 参数右侧的下载证书，下载根证书或捆绑包。 4. 将根证书导入弹性云主机Linux操作系统。 (a) 关系数据库MySQL版服务在2017年4月提供了20年有效期的新根证书，该证书在实例重启后生效。请在原有根证书到期前及时更换正规机构颁发的证书，提高系统安全性。 (b) 关系数据库MySQL版服务还提供根证书捆绑包下载，其中包含2017年4月之后的新根证书和原有根证书。 5. 连接关系数据库MySQL版实例。以Linux系统为例，执行如下命令，具体参数见下方参数说明。 plaintext mysql h P u p sslca 6. 出现 Enter password:提示时，输入数据库帐号对应的密码。 参数说明如下： 参数 说明 内网地址。在目标实例的基本信息 页面实例信息 区域，获取连接地址 即可。 数据库端口，默认13049。在目标实例的基本信息 页面实例信息 区域，获取数据库端口 即可。 户名，即关系数据库MySQL版帐号（默认管理员帐号为root）。 相应的SSL证书文件名，该文件需放在执行该命令的路径下。 若使用root用户SSL连接数据库实例，示例如下： plaintext mysql h 172.16.X.X P 13049 u root p sslcaca.pem

本章节向您介绍利用VPN连接打造云间互联通道的前提条件。 前提条件 云主机绑定的安全组需要将业务通信需要的端口进行放开，以便网络验证成功、业务正常运行。 子网的网络ACL需要将业务通信需要的端口进行放开，以便网络验证成功、业务正常运行。

监听HTTP的80端口 spec: selector: app: nginx ports: protocol: TCP port: 80 targetPort: 80 type: LoadBalancer 5. 配置监听HTTPS协议。 plaintext kind: Service apiVersion: v1 metadata: name: nginx annotations: service.beta.kubernetes.io/ctyunloadbalancerid: "${YOURLOADBALANCERID}" service.beta.kubernetes.io/ctyunloadbalancerprotocolport: "https:443" 监听HTTPS的443端口 service.beta.kubernetes.io/ctyunloadbalancersslcert: "${YOURCERTID}" SSL证书ID spec: selector: app: nginx ports: protocol: TCP port: 443 targetPort: 80 type: LoadBalancer 6. 配置附加XForwardedFor请求头。 plaintext kind: Service apiVersion: v1 metadata: name: nginx annotations: service.beta.kubernetes.io/ctyunloadbalancerid: "${YOURLOADBALANCERID}" service.beta.kubernetes.io/ctyunloadbalancerxforwardedfor: "true" spec: selector: app: nginx ports: protocol: TCP port: 80 targetPort: 80 type: LoadBalancer

本页介绍了SSL证书产品的基本功能特性。 内容加密：建立一个信息安全通道，来保证数据传输的安全。 身份认证：确认网站的真实性。 数据完整性：防止内容被第三方冒充或者篡改。

本文介绍了企业交换机服务的特性及优势。 通常情况下，企业客户通过VPN或者云专线建立云下IDC和云上VPC之间的三层网络通信。由于三层网络通信本身限制，往往让客户上云面临IDC网络改造、上云周期延长、部分业务中断等种种困难，具体请参见云下和云上三层网络的约束。 企业交换机致力于解决客户上云面临的困难，通过建立云下IDC和云上VPC之间的二层网络通信，帮助您实现业务动态、平滑迁移上云，具体请参见云下和云上二层网络的优势。 云下和云上三层网络的约束 通过VPN或者云专线建立云下IDC和云上VPC之间的三层网络，组网示意请参见下图，用户痛点请参见下表。 图云下和云上三层网络组网 表云下和云上三层网络说明 网络说明 客户痛点 云下IDC和云上VPC通过VPN或者云专线建立三层网络，通过路由通信。 云下IDC子网和云上VPC子网网段不能重叠。 云下IDC侧的业务网络互访很多是通过IP地址而非域名，如果IDC子网和VPC子网网段存在重叠，上云前需要改造IDC侧网络，会导致上云周期延长、迁移期间业务中断，并且网络改造往往增加运维成本。 网络迁移最小的粒度是“子网”，并且同一个子网无法实现跨云上和云下通信。 云下IDC侧的每个子网通常承载几十种不同的业务，如果按照子网粒度进行迁移，几十种业务一次性上云存在较大风险，无法满足业务连续性需求。 云下和云上二层网络的优势 为了应对当前上云的种种痛点，推荐您使用企业交换机，建立云下IDC和云上VPC二层网络，实现轻松上云。

参数 子参数 说明 区域 您可以根据业务要求，选择具体的区域。 项目 选择区域后，才能选择项目。 迁移方式Linux Linux块级 Linux块级迁移是指全量复制和持续同步的最小粒度为磁盘逻辑单位"块"。这种方式同步效率高，但兼容性差。 Linux文件级 Linux文件级迁移是指全量复制和持续同步最小粒度为文件，这种方式同步效率低，但兼容性好。 迁移方式Windows Windows块级 Windows块级迁移是指全量复制和持续同步的最小粒度为磁盘逻辑单位"块"。Windows当前仅支持块级迁移，这种迁移方式迁移和同步效率高。 网络类型 公网 若使用公网迁移，要求目的端服务器配置有“弹性IP”。 “网络类型”默认设置为公网。 专线或VPN 需要您提前创建源端服务器到目的端服务器所在VPC子网的专线或VPN。 若源端和目的端在同一个VPC内，网络类型可选择“专线或VPN”。 网络限流 根据要迁移的源端带宽大小及业务要求，设置限制带宽大小。设置为0时，代表不限流。 是否持续同步 否 全量复制完成后，系统会自动启动目的端，无需用户进行操作。若要同步新增数据，请单击操作列的“同步”，将增量数据同步至目的端服务器。 是 全量复制完成后，会进入持续同步阶段，该阶段系统会定时自动同步源端增量数据到目的端，此时目的端并未启动，无法操作。如需退出该阶段，单击“启动目的端”即可。 服务器选择 已有服务器 目的端配置时，在已有的服务器列表中，根据“推荐目的端，操作系统”勾选目的端服务器。 创建新服务器 目的端配置时，根据需求，您可以配置虚拟私有云、子网、安全组等参数。

本文介绍HTTPS定义及配置方法。 功能介绍 HTTP协议以明文方式发送内容，不提供任何方式的数据加密。HTTPS协议是以安全为目标的HTTP通道，简单来说，HTTPS是HTTP的安全版，即将HTTP用SSL/TLS协议进行封装，HTTPS的安全基础是SSL/TLS协议。 在天翼云直播控制台开启HTTPS协议，将实现客户端和天翼云直播加速节点之间请求的HTTPS加密。如果想要实现全链路HTTPS传输，则需要在直播加速节点配置HTTPS协议回源（源站服务器需支持HTTPS协议）。 HTTPS请求的基本流程： 1. 客户端以HTTPS协议请求直播加速节点。 2. 直播加速节点将相应的SSL证书公钥发送给客户端。 3. 客户端验证对应证书公钥是否正确，如果正确则生成一个密钥，并使用公钥进行加密，再发送给直播加速节点。 4. 直播加速节点使用对应私钥进行解密，得到密钥。 5. 直播加速节点使用对应密钥对传输的数据加密。 6. 客户端使用对应密钥对直播加速节点传输的加密数据进行解密，从而获取相应数据。 注意事项 域名进行HTTPS配置前，需已在直播控制台上传域名对应的SSL证书。证书上传路径请参见：新增证书。 只有拉流域名支持配置HTTPS。 配置说明 以推拉流场景下的拉流域名为例，操作步骤如下。 1. 登录直播控制台。 2. 在域名列表页面，单击域名操作列表中的【编辑】。 3. 单击【HTTPS配置】。 4. 开启【Https开关】。 5. 选择域名对应的有效证书，并单击页面右下方的【提交保存】。 参数 说明 Https开关 停用：即关闭HTTPS。启用：即开启HTTPS，需要上传HTTPS证书。 证书备注名 选定正确的证书与所配置的域名进行关联。说明：需要先上传相关证书。 HTTPS证书上传 可单击【证书备注名】下拉框下方的【点击上传】按钮，自助添加证书。 支持的tls协议 支持自助配置tls协议。如果未配置，则默认支持所有选项中的协议。