边缘安全加速CDN
申请免费SSL证书注意事项
1>. 边缘安全加速都能自动申请和续期SSL证书,只要将域名通过CNAME解析到边缘安全加速即可,无需再为了申请SSL证书而额外进行域名属主验证;
2>. 不要在WAF里拦截所有国外IP,因为SSL证书机构的服务器在国外,拦截所有国外IP,就意味着连SSL证书机构都给拦截了;SSL证书机构如果无法验证域名属主,就无法下发SSL证书。如下图所示,请确认没有拦截规则或拦截规则处于关闭状态:
注:拦截所有国外IP是为了抵御DDos攻击, 因为DDos攻击通常都来自国外;国内发起的DDos攻击很少,因为国内网络监管严。不要尝试拦截所有国外IP,然后仅放行SSL证书机构的IP,因为SSL证书机构的 IP 并不固定。
3>. 如果所有配置都正确,但SSL证书迟迟申请不到,可以尝试更换SSL机构
