华为云用户手册

请求示例 { "name" : "test_cert", "certificate" : "-----BEGIN CERTIFICATE---******----END CERTIFICATE----------BEGIN CERTIFICATE-----**********-----END CERTIFICATE-----", "private_key" : "-----BEGIN RSA PRIVATE KEY-----*********-----END RSA PRIVATE KEY-----" }

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取（响应消息头中X-Subject-Token的值）。 最小长度：32 最大长度：2097152 表2 请求Body参数 参数 是否必选 参数类型 描述 name 是 String 证书名称。字符长度为3~63位, 请输入英文字符，数字，下划线，中划线，英文句点。 最小长度：3 最大长度：63 certificate 是 String 证书内容，可包含中间证书及根证书。若certificate_chain字段传入证书链，则该字段只取证书本身。回车换行需要使用转义字符\n或者\r\n替换。 最小长度：0 最大长度：4096 certificate_chain 否 String 证书链，非必填，可通过certificate字段传入。回车换行需要使用转义字符\n或者\r\n替换。 最小长度：0 最大长度：8192 private_key 是 String 证书私钥。 不能上传带有口令保护的私钥，回车换行需要使用转义字符\n或者\r\n替换。 最小长度：0 最大长度：4096 enterprise_project_id 否 String 企业多项目ID。用户未开通企业多项目时，不需要输入该字段。 用户开通企业多项目时，查询资源可以输入该字段。 若用户不输入该字段，默认查询租户所有有权限的企业多项目下的资源。 此时“enterprise_project_id”取值为“all”。 若用户输入该字段，取值满足以下任一条件. 取值为“all” 取值为“0” 满足正则匹配：“^[0-9a-z]{8}-[0-9a-z]{4}-[0-9a-z]{4}-[0-9a-z]{4}-[0-9a-z]{12}$” 最小长度：0 最大长度：64 enc_certificate 否 String 可选参数，国密证书的加密证书内容。回车换行需要使用转义字符\n或者\r\n替换。 最小长度：0 最大长度：4096 enc_private_key 否 String 可选参数，国密证书的加密私钥。 不能上传带有口令保护的私钥，回车换行需要使用转义字符\n或者\r\n替换。 最小长度：0 最大长度：4096

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 certificate_id String 证书id。 最小长度：16 最大长度：16 状态码： 401 表4 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 403 表5 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 500 表6 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024

请求示例 解析CSR，请求头中的X-Auth-Token字段需要填写token，且该token需要具有本API的访问权限。 POST https://ccm.cn-north-4.myhuaweicloud.com/v1/private-certificates/csr/parse { "csr" : "-----BEGIN CERTIFICATE REQUEST-----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\\n-----END CERTIFICATE REQUEST-----" }

响应示例 状态码： 200 请求已成功 { "distinguished_name" : { "country" : "CN", "state" : "sichuan", "locality" : "chengdu", "organization" : "HW", "organizational_unit" : "IT", "common_name" : "test.com" }, "public_key" : "-----BEGIN PUBLIC KEY-----\r\nMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAx1EX1JfOXquoFDjVi67T\r\npF4kFwetNnLwC0ZQtOK3fftX4/rkHwdGdsYAalzLz2ltlgbtLJHeKaNnjlqTL8bn\r\n0DVIxww6ZP6VaxpfKXaJ76GxDdvb5kp8yRFUAK8N2YQ0UIcsFoXn2CAx1dOtAaNF\r\nO+HwooRnp6GekZaRSYS2bk4olkQ83/2WkkTGC+tAmjSFG7AIY8jaO5RgX40YGANh\r\nU9UGOo8xCxux8k2dsXRnY+fxRiLWphiT2ij4CYURagETbKuRl9WOI+HFVkmIU/0p\r\n3FWqB0RdrRTEcAC+S5fmW75E85rAMh9f65wa/6eWcM6vlnby4Bbm1mcJdR3olgKJ\r\nUQIDAQAB\r\n-----END PUBLIC KEY-----\r\n", "key_algorithm" : "RSA", "key_algorithm_length" : 2048, "signature_algorithm" : "SHA256withRSA" } 状态码： 400 请求参数有误。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 401 被请求的页面需要鉴权。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 403 认证失败。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 404 资源不存在或资源未找到。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 500 服务内部错误。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" }

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 key_algorithm String 密钥算法。 key_algorithm_length String 密钥算法长度，单位为bit。 signature_algorithm String 签名算法，带具体的签名与哈希算法，如"SHA256withRSA"。 public_key String 公钥内容。 说明： 其中，换行符已被“\r\n”替代； 最小长度：0 最大长度：4096 distinguished_name DistinguishedName object 证书名称配置，详情请参见DistinguishedName字段数据结构说明。 表4 DistinguishedName 参数 参数类型 描述 common_name String 证书通用名称（CN），名称只能由"-"、"_"、" "、"."、","、"*"、字母、数字、汉字组成，长度不能超过64位字符。 最小长度：1 最大长度：64 country String 国家编码，只能由英文组成，长度为2位字符。 最小长度：2 最大长度：2 state String 省市名称，名称只能由"-"、"_"、" "、"."、","、字母、数字、汉字组成，长度不能超过128位字符。 最小长度：1 最大长度：128 locality String 地区名称，名称只能由"-"、"_"、" "、"."、","、字母、数字、汉字组成，长度不能超过128位字符。 最小长度：1 最大长度：128 organization String 组织名称，名称只能由"-"、"_"、" "、"."、","、字母、数字、汉字组成，长度不能超过64位字符。 最小长度：1 最大长度：64 organizational_unit String 组织单元名称，名称只能由"-"、"_"、" "、"."、","、字母、数字、汉字组成，长度不能超过64位字符。 最小长度：1 最大长度：64 状态码： 400 表5 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 401 表6 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 403 表7 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 404 表8 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 500 表9 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024

响应参数 状态码： 200 表2 响应Body参数 参数 参数类型 描述 quotas Quotas object 证书配额，详情请参见Quotas字段数据结构说明。 表3 Quotas 参数 参数类型 描述 support_hsm_cluster Boolean 是否启用加密机集群加密功能。 true false resources Array of Resources objects 资源配额列表，详情请参见Resources字段数据结构说明。 数组长度：0 - 10 表4 Resources 参数 参数类型 描述 type String 证书类型: CERTIFICATE_AUTHORITY: CA证书； CERTIFICATE: 私有证书。 used Integer 已使用配额数。 quota Integer 配额总数： CERTIFICATE_AUTHORITY: 当前系统指定100； CERTIFICATE: 当前系统指定100000。 状态码： 400 表5 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 401 表6 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 403 表7 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 404 表8 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 500 表9 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024

响应示例 状态码： 200 请求已成功 { "quotas" : { "resources" : [ { "type" : "CERTIFICATE", "used" : 25, "quota" : 100000 } ] } } 状态码： 400 请求参数有误。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 401 被请求的页面需要鉴权。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 403 认证失败。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 404 资源不存在或资源未找到。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 500 服务内部错误。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" }

响应参数 状态码： 400 表4 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 401 表5 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 403 表6 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 404 表7 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 500 表8 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024

响应示例 状态码： 400 请求参数有误。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 401 被请求的页面需要鉴权。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 403 认证失败。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 404 资源不存在或资源未找到。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 500 服务内部错误。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" }

URI DELETE /v1/private-certificate-authorities/{ca_id} 表1 路径参数 参数 是否必选 参数类型 描述 ca_id 是 String 所要计划删除的CA证书ID。 最小长度：36 最大长度：36 表2 Query参数 参数 是否必选 参数类型 描述 pending_days 否 String 延迟删除时间，单位为”天“, 若用户不输入该字段，默认为30。 最小长度：1 最大长度：2

响应示例 状态码： 400 请求参数有误。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 401 被请求的页面需要鉴权。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 403 认证失败。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 404 资源不存在或资源未找到。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 500 服务内部错误。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" }

请求示例 激活CA，请求头中的X-Auth-Token字段需要填写token，且该token需要具有本API的访问权限。 POST https://ccm.cn-north-4.myhuaweicloud.com/v1/private-certificate-authorities/4c0e772e-a30c-4029-b929-b7acb04143f7/activate { "signature_algorithm" : "SHA256", "validity" : { "type" : "YEAR", "value" : 1 }, "path_length" : 3, "issuer_id" : "c718fe5f-d44a-467f-80f1-948348ff4132" }

响应参数 状态码： 400 表8 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 401 表9 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 403 表10 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 404 表11 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 500 表12 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024

响应参数 状态码： 200 表2 响应Body参数 参数 参数类型 描述 agency_id String 创建OBS委托，由IAM返回的授权ID。 状态码： 400 表3 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 401 表4 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 403 表5 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 404 表6 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 500 表7 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024

请求示例 用户授权PCA创建服务关联委托（用于访问OBS桶，更新吊销列表），请求头中的X-Auth-Token字段需要填写token，且该token需要具有本API的访问权限与安全管理员（secu_admin）权限。 POST https://ccm.cn-north-4.myhuaweicloud.com/v1/private-certificate-authorities/obs/agencies

响应示例 状态码： 200 请求已成功 { "agency_id" : "078ade0fc20010004f8fc0034fad529d" } 状态码： 400 请求参数有误。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 401 被请求的页面需要鉴权。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 403 认证失败。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 404 资源不存在或资源未找到。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 500 服务内部错误。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" }

响应参数 状态码： 200 表2 响应Body参数 参数 参数类型 描述 agency_granted String OBS当前的授权结果。 true false 状态码： 400 表3 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 401 表4 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 403 表5 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 404 表6 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024 状态码： 500 表7 响应Body参数 参数 参数类型 描述 error_code String 错误请求返回的错误码。 最小长度：3 最大长度：36 error_msg String 错误请求返回的错误信息。 最小长度：0 最大长度：1024

请求示例 查看PCA是否具有用户的服务关联委托权限（用于访问OBS桶，更新吊销列表），请求头中的X-Auth-Token字段需要填写token，且该token需要具有本API的访问权限与安全管理员（secu_admin）权限。 GET https://ccm.cn-north-4.myhuaweicloud.com/v1/private-certificate-authorities/obs/agencies

响应示例 状态码： 200 请求已成功 { "agency_granted" : "true" } 状态码： 400 请求参数有误。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 401 被请求的页面需要鉴权。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 403 认证失败。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 404 资源不存在或资源未找到。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" } 状态码： 500 服务内部错误。 { "error_code" : "PCA.XXX", "error_msg" : "XXX" }

操作步骤 创建OBS并行文件系统，详情请参考创建并行文件系统章节。例如文件系统名称为“lakeformation-test”。 在并行文件系统页面，单击已创建的文件系统名称，例如“lakeformation-test”。 在左侧导航栏选择“文件”，单击“新建文件夹”，填写待创建的文件夹名称，单击“确定”。继续单击该文件夹名称，单击“新建文件夹”，可以创建其子文件夹。 参考该步骤，依次创建用于存放元数据的路径，例如： Catalog存储路径：lakeformation-test/catalog1 数据库存储路径：lakeformation-test/catalog1/database1 数据表存储路径：lakeformation-test/catalog1/database1/table1、lakeformation-test/catalog1/database1/table2 函数存储路径：lakeformation-test/catalog1/database1/udf1

准备用户 如果您是第一次使用LakeFormation，请参考LakeFormation准备工作章节，完成用户创建并授权使用LakeFormation等准备工作。 本入门示例，是为了演示使用LakeFormation的全流程，用户还需提前完成以下准备工作： 已在IAM服务中创建用于授权的IAM业务用户、用户组，用户已关联至用户组。 已在OBS服务中创建一个并行文件系统，并在文件系统中创建用于映射数据表的文件夹。 已创建对接LakeFormation所需的相关委托。例如，如果执行MRS对接LakeFormation，则参考MRS准备工作创建相关委托等。

创建存储元数据的OBS路径 创建OBS并行文件系统，详情请参考创建并行文件系统章节。例如文件系统名称为“lakeformation-test”。 在并行文件系统页面，单击已创建的文件系统名称，例如“lakeformation-test”。 在左侧导航栏选择“文件”，单击“新建文件夹”，填写待创建的文件夹名称，单击“确定”。继续单击该文件夹名称，单击“新建文件夹”，可以创建其子文件夹。 参考该步骤，依次创建用于存放元数据的路径，例如： Catalog存储路径：lakeformation-test/catalog1 数据库存储路径：lakeformation-test/catalog1/database1 数据表存储路径：lakeformation-test/catalog1/database1/table1、lakeformation-test/catalog1/database1/table2 函数存储路径：lakeformation-test/catalog1/database1/udf1

约束说明 MRS对接LakeFormation前，需要注意以下约束限制： MRS集群和LakeFormation实例必须同在一个云账户下且属于同一个Region。 LakeFormation侧创建的接入客户端所在虚拟私有云，必须与MRS集群在同一虚拟私有云下。 MRS集群仅支持对接LakeFormation实例中名称为hive的Catalog。 MRS存量集群需要先完成元数据库和权限策略向LakeFormation实例上迁移，再配置对接。 如果需要迁移多个MRS集群中的元数据到同一个LakeFormation实例，MRS集群之间的Database名称不能重复。 MRS对接LakeFormation后，MRS组件功能约束限制： Hive暂不支持临时表功能。 Hive暂不支持跨集群的列加密表功能。 Hive WebHCat暂不支持对接LakeFormation。 Hive创建内表时如果表目录不为空，则禁止创建表。 Hudi表创建前，需要先在LakeFormation上添加Hudi表目录的路径授权，赋予OBS读写权限。 Hudi表不支持在LakeFormation管理面编辑表的字段，只能通过Hudi客户端增删改表的字段。 Flink读写Hudi场景下同步Hive表，仅支持使用hive_sync.mode=jdbc，不支持hms方式。 Spark使用小权限用户登录客户端创建数据库时，如果用户没有default库的OBS路径权限，将提示缺少权限，实际创建数据库成功。 MRS对接LakeFormation后，权限策略约束限制： 通过LakeFormation授权仅支持将LakeFormation角色作为授权主体，不支持IAM用户或IAM用户组作为授权主体。 PolicySync进程不会修改集群内RangerAdmin Hive模块的默认策略，默认策略仍然生效。 PolicySync进程启动后，会与LakeFormation实例的权限进行比对，删除LakeFormation上不存在的非默认策略，请先完成权限策略迁移到LakeFormation实例上。 RangerAdmin WebUI界面的Hive模块，禁止执行添加、删除权限非默认策略的操作，统一在LakeFormation实例的数据权限界面进行授权操作。 MRS集群取消对接LakeFormation后，RangerAdmin的非默认策略不会清理，需要人工进行清理。 Hive暂不支持Grant授权的SQL语句，需统一在LakeFormation实例的数据权限界面进行授权操作。 MRS暂不支持LakeFormation行过滤权限能力。

背景信息 源站与回源HOST的区别如下所示： 源站：源站决定了用户回源时访问的地址，即源站服务器IP。 回源HOST：回源HOST决定了回源时访问到该IP地址上的具体站点。 示例：用nginx服务器搭建源站，IP为x.x.x.x，域名为：www.test.com。源站中部署了多个server，如下所示。 server { listen 80; server_name www.a.com; location / { root html; } } server { listen 80; server_name www.b.com; location / { root html; } } 如果您想要CDN回源到本服务器，您需要在CDN侧将源站配置为：x.x.x.x或www.test.com，CDN回源请求到了源站后，如果您需要访问到的server name为www.a.com，您就需要将回源HOST配置为www.a.com；如果您需要访问到的server name为www.b.com，您就需要将回源HOST配置为www.b.com。

注意事项 域名添加后，CDN默认回源HOST为您的加速域名。如果加速域名不是您期望CDN在回源时访问的站点域名时，您需要自定义回源HOST来指明站点域名。 如果您的源站类型为IP地址或域名，您的回源HOST类型默认为加速域名。 如果使用华为云OBS桶作为源站时，默认使用OBS域名作为回源HOST。 如果您以源站域名形式将华为云OBS桶或其他云厂商的对象存储桶接入CDN作为源站，请将回源HOST自定义为您的对象存储桶域名，否则会造成回源失败。

配置示例 配置详情：加速域名为“www.example.com”，源站域名为“www.origin.com”，回源HOST配置为“www.example01.com”。 当用户访问“http://www.example.com/test.jpg”文件时，CDN节点没有缓存该资源，此时会解析到源站“www.origin.com”对应的服务器IP（假设IP为192.168.1.1），在服务器的站点“www.example01.com”路径下，找到“test.jpg”文件，返回给用户并缓存到CDN节点。

配置步骤 登录CDN控制台。 在左侧菜单栏中，选择“域名管理”。 在域名列表中，单击需要修改的域名或域名所在行的“设置”，进入域名配置页面。 选择“高级配置”页签。 在自定义错误页面配置模块，单击“添加”，系统弹出“自定义错误页面配置”对话框。 图1 自定义错误页面配置 表1 参数说明 参数 描述 示例 错误码 需要自定义页面错误码4xx、5xx。 404 重定向方式 将错误码页面重定向到新页面的方式，可选301或302重定向。 301 重定向的目标链接 自定义错误码跳转的新页面，必须以http://或https://开头。 https://example.com/error404.html 输入各项参数，单击“确定”，完成配置。

配置示例 配置详情：域名www.example.com开启了IP访问限频，访问阈值设置为10000次/秒。 触发IP限频的条件：单IP的单URL每秒访问单节点的次数达到10000次，才会触发访问限频。 示例：IP地址为0.0.0.0的客户端，一秒内访问链接https://www.example.com/abc.jpg的次数达到了10000次，即触发访问限频，该IP再次请求https://www.example.com/abc.jpg时，阻断请求，返回403状态码，10分钟后解除阻断。

支持复制的配置项 复制配置到新的域名时支持的配置项见下表： 表中支持复制的配置项为控制台可见配置。如果您请运维给原域名设置了特殊配置，该特殊配置将无法复制到新域名。如果新域名需要该特殊配置，您可以提交工单申请。 表1 支持复制的配置项 配置大类 配置项 基本配置 企业项目（校验子账号是否有权限，子账号如果没有该企业项目的权限，域名将添加失败） 业务类型 服务范围 源站配置 复制源站配置时会复制存量域名的回源HOST，详情如下： 如果存量域名的源站类型是IP或域名，且配置了自定义回源HOST，新域名将复制该HOST。 如果存量域名的源站类型是IP或域名，且回源HOST是存量域名本身，新域名的回源HOST也将是新域名本身。 如果存量域名的源站类型是OBS桶域名，新域名的回源HOST与存量域名保持一致。 IPv6配置 回源配置 回源方式 回源SNI 回源URL改写 高级回源 Range回源 回源跟随 回源是否校验Etag 回源超时时间 回源请求头 缓存配置 缓存规则 浏览器缓存过期时间 状态码缓存时间 访问URL重写 访问控制 防盗链 IP黑白名单 User-Agent黑白名单 URL鉴权配置 远程鉴权配置 高级配置 HTTP header配置（跨域请求） 自定义错误页面 智能压缩 请求限速 用量封顶 WebSocket配置（原域名的业务类型是全站加速时会复制该配置项） 视频配置 视频拖拽 标签 标签