این بخش مربوط به تنظیمات گواهی SSL/TLS است که با دو روش «خودکار» و «دستی» قابل تنظیم است. درصورتی که بر روی CDN از دامنه اختصاصی استفاده میکنید، میتوانید با فعال کردن این گزینه، TLS را برای آن دامنه فعال کنید.
حالت اول
میتوانید بهصورت دستی گواهینامهی خودتان را اضافه کنید. برای این کار بر روی دکمهی «Secrets» کلیک کنید و سپس «افزودن Secret جدید» را انتخاب کنید.
نام: در این قسمت باید یک اسم دلخواه به گواهینامهی خود اختصاص دهید که در فهرست گواهینامهها نمایش داده شود.
CRT: در قسمت CRT باید سرتیفیکیت خود را بهصورت full-chain (که شامل leaf و root میشود) وارد کنید.
کلید: در قسمت کلید نیز باید private key را وارد نمایید.
پس از اضافه کردن Secret باید گزینهی «فعال کردن Secret» را فعال کنید و در قسمت Secret از فهرست نمایش داده شده Secret مورد نظر را انتخاب کنید.
حالت دوم
حالت دوم به این صورت است که CDN ستون به صورت خودكار گواهینامه را برای شما تهیه میکند. در این حالت پس از فعال کردن TLS در قسمت «حداقل نسخهی TLS» میتوانید نسخهی گواهینامه را تعیین کنید. و با فعال کردن گزینهی «بهروز رسانی خودکار TLS» تایید میکنید که CDN ستون به صورت خودکار گواهینامه را برای شما بگیرد.
وایلدکارد (wildcard): اگر این گزینه روشن نباشد به این معنی است که شما از حالت چالش HTTP01 مرتبط با Let’s encrypt استفاده میکنید. در این حالت حتما باید ترافیکتان پشت CDN ستون باشد تا بتوانید چالش Let’s encrypt را اعتبارسنجی (validate) کنید و verify شوید تا CDN ستون بتواند گواهینامه را از طرف شما بهعنوان مشتری دریافت کند. در این حالت احتمال downtime وجود دارد چرا که عملیات گرفتن گواهینامه زمان بر است و اگر سایت شما live باشد و بخواهید با حالت غیر وایلدکارد گواهینامه را بگیرید یک downtime خواهید داشت.
اگر گزینهی وایلدکارد را فعال کنید در این حالت CDN ستون از چالش DNS01 مرتبط با Let’s encrypt برای verification استفاده میکند و Let’s encrypt انتظار دارد که یک رکورد TXT با یک توکن خاص برای این دامنه تنظیم شود که بتواند آن را تایید (validate) کند.
توجه: در حالت وایلدکارد حتما باید از DNS ستون استفاده شود.
اجباری بودن TLS: در صورتی که اجباری بودن TLS را فعال کنیم تمام ریکوئستهای HTTP به HTTPS ریدایرکت میشوند و هدر HSTS برای دامنهی شما تنظیم خواهد شد و مرورگر نیز این عملیات ریدایرکت را بهصورت خودکار انجام میدهد. در حال حاضر مقدار Max age مربوط به HSTS در CDN ستون یک سال در نظر گرفته شده است.
پس از انجام تنظیمات مربوط به مدیریت TLS بر روی دکمهی «ذخیره» کلیک کنید تا تنظیمات ذخیره شوند. در غیر این صورت هیچ یک از تنظیمات ذخیره نخواهند شد.
در صورتی که میخواهید خودتان گواهینامهی TLS خودتان را استفاده کنید میتوانید از بخش TLS شخصی و افزودن secret جدید گواهینامهی خود را بارگذاری کنید.
توجه
حتما عبارت را به صورت Fullchain و با فرمت درست وارد کنید. منظور از full chain کد crt و بعد از آن bundle بهصورت پشت سر هم، میباشد.
نکات مهم
لازمهی گرفتن سرتیفیکیت Wildcard این است که DNS دامنهای که CDN را بر روی آن تعریف کردهاید نیز در همان فضای کاری تعریف شده باشد. گواهی wildcard فقط تا یک لول معتبر است.
- CDN هم اکنون تا ۱۰ لول درخواست hostname را تطبیق میدهد. یعنی اگر یک CDN برای example.com ساخته شده باشد و درخواستی برای x.y.z.example.com بیاید، با نزدیکترین CDN پاسخ داده میشود.
- از آنجایی که گواهی wildcard با استفاده از DNS است، این مورد برای مواردی که کاربر میخواهد قبل از انتقال دامنهاش به CDN از اخذ گواهی TLS مطمئن شود، کاربردی است.