104      微信

步骤一：控制台配置__快速上线_Web 应用防火墙-阿里云

登录阿里云控制台，找到云盾->Web应用防火墙->域名配置，点击“添加域名”按钮：

弹出的对话框中输入相关信息：

注意事项：

• 支持配置泛域名，如*.aliyundemo.cn，可以匹配相关的二级域名。当同时配置泛域名和精确域名时，转发和防护策略匹配顺序以精确域名优先
• 如果有HTTPS站点，务必勾选HTTPS，同时建议勾选HTTP，以应对HTTP跳转等问题，保证访问平滑
• 源站IP可以支持最多20个，WAF会做负载均衡和健康检查，详情见“源站IP负载均衡”
• 不能添加属于非当前阿里云账号的ECS的IP（非阿里云用户无限制），特殊情况请提工单申请
• 如WAF前面还有CDN、高防等七层代理，务必勾选“是否已使用高防、CDN、云加速等代理”，这样才能取到客户端真实IP，不然看到的都是代理的IP
• 非标端口仅在旗舰版支持，请通过工单、钉钉群等方式联系我们定制

2. 获取CNAME

配置好域名后，WAF会自动分配给当前域名一个CNAME，可点击域名信息来查看：

这个CNAME在稍后配置DNS解析时会用到。如果您需要知道当前WAF的IP地址，可以通过ping一下这个CNAME的方式，一般情况下这个IP不会频繁变动。

3. 上传HTTPS证书和私钥（仅针对HTTPS站点）

如果防护HTTPS站点，必须上传服务器的证书和私钥到WAF，否则访问HTTPS站点会有问题。勾选HTTPS后，会看到红色的“异常”字样，提示当前证书有问题，点击“上传证书”来上传：

WAF可以直接复制证书和私钥文本内容，一般如pem、cer、crt等证书格式，可用文本编辑器直接打开，有些格式（如PFX、P7B等）的证书需要先转换成这些格式，转换方式可参考这里。如果有多个证书文件（如证书链），可拼接合并后一起上传。

WAF能识别的证书样例格式如下：

-----BEGIN CERTIFICATE-----
62EcYPWd2Oy1vs6MTXcJSfN9Z7rZ9fmxWr2BFN2XbahgnsSXM48ixZJ4krc+1M+j2kcubVpsE2
cgHdj4v8H6jUz9Ji4mr7vMNS6dXv8PUkl/qoDeNGCNdyTS5NIL5ir+g92cL8IGOkjgvhlqt9vc
65Cgb4mL+n5+DV9uOyTZTW/MojmlgfUekC2xiXa54nxJf17Y1TADGSbyJbsC0Q9nIrHsPl8YKk
vRWvIAqYxXZ7wRwWWmv4TMxFhWRiNY7yZIo2ZUhl02SIDNggIEeg==
-----END CERTIFICATE-----

私钥样例格式如下：

-----BEGIN RSA PRIVATE KEY-----
DADTPZoOHd9WtZ3UKHJTRgNQmioPQn2bqdKHop+B/dn/4VZL7Jt8zSDGM9sTMThLyvsmLQKBgQ
Cr+ujntC1kN6pGBj2Fw2l/EA/W3rYEce2tyhjgmG7rZ+A/jVE9fld5sQra6ZdwBcQJaiygoIYo
aMF2EjRwc0qwHaluq0C15f6ujSoHh2e+D5zdmkTg/3NKNjqNv6xA2gYpinVDzFdZ9Zujxvuh9o
4Vqf0YF8bv5UK5G04RtKadOw==
-----END RSA PRIVATE KEY-----

上传完毕后，HTTPS状态应该变为正常：

4. 接入状态异常排查

刚添加完域名时，接入状态可能会提示异常：

这是正常的，待修改DNS使用CNAME解析接入WAF后，或者是有正常流量经过WAF以后会变成正常的，具体判断标准可参考CNAME接入状态说明。

至此，控制台配置完成。您可以继续添加其他域名，或进入到下一步。

最后更新：2016-11-24 11:23:49

  上一篇： Web应用防火墙V1.0发布__产品升级更新_Web 应用防火墙-阿里云

  下一篇： 步骤二：放行回源IP段__快速上线_Web 应用防火墙-阿里云