前言

小白后臺僅僅只是一位小白Java

簡單說一下前情回顧，上個月小白陪老板出去一起談了一個大項目，其中涉及到大量的圖片和視頻存儲，時間緊任務(wù)重，自建存儲服務(wù)是不現(xiàn)實的了，小白計劃采購 阿里云 OSS 服務(wù)來實現(xiàn)。

這篇文章里小白主要介紹了阿里云OSS配置 自定義域名 和 證書托管 以及申請阿里云 免費SSL證書 的流程，接下來有時間的話，我還會介紹一下如何基于阿里云OSS 服務(wù)端簽名 + 前端直傳 方式在 微信小程序 中實現(xiàn)上傳文件，同時也會涉及到阿里云 STS + RAM 身份認(rèn)證 相關(guān)的內(nèi)容。

前置條件

1. 具備阿里云官方帳號
2. 阿里云已開通OSS功能
3. 具備已通過備案的域名

小白這里幻想自己已通過備案的域名是 oss.lzr.com，要使用的OSS存儲空間bucket名為 lzr-bucket；

自定義域名

將文件上傳到阿里云 OSS 的 Bucket 后，阿里云會自動生成該文件的訪問地址，我們可以使用此地址訪問存儲空間文件。如果我們想要通過自定義域名訪問這些文件，需要將自定義域名綁定到文件所在的存儲空間，并添加 CNAME 記錄指向存儲空間對應(yīng)的外網(wǎng)域名。接下來我們介紹 綁定自定義域名 以及 添加域名解析 的步驟。

1. 新建Bucket

打開阿里云對象存儲控制臺界面，點擊左側(cè) “+” 號新建Bucket。小白新建的Bucket名稱為 lzr-bucket，區(qū)域選擇了 華東1（杭州），其他選項自行根據(jù)需要設(shè)置。

新建Bucket

2. 綁定自定義域名

在 lzr-bucket 管理頁，選擇 域名管理 > 綁定用戶域名，彈出框中添加自定義域名 oss.lzr.com 后提交 。添加的域名是你當(dāng)前阿里云賬號下管理的域名時，阿里云可以自動添加 CNAME 記錄；非當(dāng)前阿里云賬號下的域名，則需要在你的域名服務(wù)商處手動添加CNAME記錄。

小白的域名 oss.lzr.com 是在 西部數(shù)碼 管理的，所以小白需要到西部數(shù)碼手動完成域名解析，接下來也會給出手動添加CNAME的步驟。

域名設(shè)置

3. 添加CNAME記錄

手動添加CNAME時，需要先知道我們Bucket的 阿里云公網(wǎng)域名 。阿里云OSS 華東1（杭州）的EndPoint（地域節(jié)點）公網(wǎng)域名為 oss-cn-hangzhou.aliyuncs.com，我們的Bucket公網(wǎng)訪問域名為 lzr-bucket.oss-cn-hangzhou.aliyuncs.com 。

如下圖所示，我們可以在 lzr-bucket 概覽 頁快速獲取阿里云Bucket公網(wǎng)訪問域名。

Bucket概覽

接下來登錄 西部數(shù)碼 域名服務(wù)商平臺，手動添加CNAME，將自定義域名 oss.lzr.com 解析到 lzr-bucket 的公網(wǎng)訪問域名 lzr-bucket.oss-cn-hangzhou.aliyuncs.com，解析記錄類型為 CNAME 。

手動添加CNAME記錄

配置 CNAME 后，不同的域名服務(wù)商 CNAME 配置生效的時間也不同。你可以 ping 或 lookup 你所添加的域名，如果被轉(zhuǎn)向 *.oss-cn-*.aliyuncs.com，即表示 CNAME 配置已經(jīng)生效。

檢測CNAME是否成效

我們在 lzr-bucket 域名管理 頁，找到已添加的自定義域名 oss.lzr.com，點擊右側(cè)的 域名綁定配置 可以看到 oss.lzr.com 映射到 lzr-bucket.oss-cn-hangzhou.aliyuncs.com，同樣的，在這里也可以實現(xiàn)自定義域名 解除綁定 。

域名管理

域名綁定配置

到這里，我們就完成了阿里云OSS綁定自定義域名，接下來我們介紹如何申請 免費證書 以及進(jìn)行SSL 證書托管 。

申請免費證書

很多場景下需要我們?yōu)樽约旱姆?wù)配置SSL證書支持，比如微信小程序開發(fā)要求必須使用 HTTPS 協(xié)議等。專業(yè)版的證書價格高昂，前期開發(fā)過程中一般都會選擇免費證書。

1. 購買免費證書

打開阿里云SSL證書產(chǎn)品主頁，點擊 立即購買 進(jìn)入購買主頁，依次選擇 免費型DV SSL > 立即購買，完成支付并進(jìn)入阿里云 SSL證書控制臺 。

需要注意到，完成免費SSL證書的購買并不代表已經(jīng)可以使用免費證書，購買后還需要向證書廠商申請簽發(fā)證書，只有完成審核/簽發(fā)后才能下載并使用相應(yīng)證書。

SSL證書購買頁

2. 證書申請

在 SSL證書控制臺，找到新購買的SSL證書，點擊右側(cè) 申請 彈出證書申請對話框。在證書申請對話框中依次輸入證書要綁定的 域名 以及 域名驗證方式 等信息后點擊 下一步 進(jìn)入域名DNS驗證頁。

這里需要說明的是，因為小白的域名不在當(dāng)前阿里云賬號下管理，而是在 西部數(shù)碼 平臺管理，所以這里小白選擇的是 手動DNS驗證，實際操作中大家可以根據(jù)實際情況選擇其他驗證方式。

SSL證書控制臺

SSL證書申請

手動DNS驗證

在上圖中，我們獲取到了手動DNS驗證信息的 主機(jī)記錄 和 記錄值，下面我們到域名服務(wù)商平臺下進(jìn)行相應(yīng) TXT記錄 類型解析，解析時注意不要將 主機(jī)記錄 和 記錄值 寫反了。域名解析完成后點擊 驗證 即可，接下來就是等待SSL證書簽發(fā)機(jī)構(gòu)的審核了，通常情況下半小時左右即可通過，待審核通過后即可下載證書文件到本地備份。

域名TXT類型解析

證書托管

在 lzr-bucket > 域名管理 下，找到要托管證書的自定域名 oss.lzr.com ，點擊右側(cè)的 證書托管 打開證書托管彈窗，在證書托管彈窗里將之前下載到本地的SSL證書文件的 公鑰&私鑰 填入相應(yīng)位置，點擊 上傳 完成證書托管。

域名管理

上傳證書

總而言之

阿里云OSS使用起來還是很方便的，但是項目中實際使用時還是要多考慮自身場景的需求和限制，比如是否需要綁定自定義域名、是否需要HTTPS支持？除此之外，還要考慮實現(xiàn)方案所采用的的身份認(rèn)證方式是否夠安全？有沒有更加安全的身份認(rèn)證方案？是使用服務(wù)端上傳呢還是前端上傳？采用前端上傳方案時如何簽名？是前端自簽名呢還是服務(wù)端簽名？

總而言之，實現(xiàn)功能很簡單，至少看起來不難，要努力保持不斷挖掘更優(yōu)實現(xiàn)的執(zhí)拗，不要成為一個只為實現(xiàn)功能而不斷堆代碼的碼農(nóng)。