首页/文档/阿里云配置

CLOUD CONFIG

阿里云子账户授权与平台绑定

平台通过 DNS TXT 记录完成域名校验，所以你需要为 CertSvc 提供一个具备 DNS 读写权限的阿里云子账户。如果还要启用 CDN 自动推送，则再补充 CDN 管理权限。

访问入口：https://ram.console.aliyun.com/users

1. 创建可供平台调用的子用户

登录负责域名解析的阿里云账号，进入 RAM 子用户管理页面，创建一个独立子用户给 CertSvc 使用。这样做的好处是权限边界清晰，也方便以后轮换密钥。

阿里云子用户管理

阿里云创建子用户

阿里云子用户详情

2. 复制 AccessKey 并绑定到平台

在子用户中生成 AccessKey ID 和 AccessKey Secret，然后回到 CertSvc 控制台的解析配置中录入这组密钥。

CertSvc 解析配置

CertSvc 解析配置表单

3. 为子账户授予 DNS 权限

搜索并添加 AliyunDNSFullAccess。平台只要具备该权限，就可以自动完成 TXT 验证记录的增删，从而驱动证书签发。

添加权限

AliyunDNSFullAccess

DNS 权限已添加

4. 如需 CDN 自动部署，再补 CDN 权限

如果网站接入了阿里云 CDN，并希望在证书续签后自动把新证书推送到 CDN，请额外添加 AliyunCDNFullAccess。

AliyunCDNFullAccess

CDN 权限已添加