通過控制台批量部署SSL認證至雲產品-數位憑證管理服務-阿里雲 - Certificate Management Service

前提條件

本文不涉及ECS、Simple Application Server的操作指導，如需將認證部署至ECS或Simple Application Server，請參見更新認證（非首次部署）至阿里雲ECS或Simple Application Server。
已通過數位憑證管理服務購買和申請認證（狀態為已簽發）。如需購買和申請認證，請參見購買正式認證和申請認證。
已簽發的SSL認證名稱不能包含中文：

在SSL認證管理列表頁面找到目標已簽發認證，單擊認證ID右側的認證連結進入詳情頁，確認認證名稱是否包含中文。
確認認證狀態，以及認證和目標網域名稱的匹配情況。
確認認證狀態和網域名稱匹配情況
在SSL證書管理頁面，定位需部署的目標認證，並確認以下資訊：
1. 認證狀態：確保其為已簽發。若為即將到期或已到期，則需續約SSL認證。
2. 綁定網域名稱：確保其能夠匹配所有需保護的網域名稱，否則未匹配的網域名稱訪問 HTTPS 時將出現安全警告。如需添加或修改，請參見追加和更換網域名稱。
  確認認證是否匹配目標網域名稱
  
  認證的綁定網域名稱可包含多個精確網域名稱和萬用字元網域名稱。每類網域名稱的匹配規則如下：
  
  精確網域名稱：僅對指定網域名稱生效。
  
  example.com 僅對 example.com 生效。
  
  www.example.com 僅對 www.example.com 生效。
  
  萬用字元網域名稱：僅對其一級子網域名稱生效。
  
  *.example.com 對 www.example.com、a.example.com 等一級子網域名稱生效。
  
  *.example.com 對根網域名稱 example.com 和多級子網域名稱 a.b.example.com 不生效。
  
  說明
  如需匹配多級子網域名稱，綁定網域名稱中需包含該網域名稱（如 a.b.example.com），或包含相應的萬用字元網域名稱（如 *.b.example.com）。

使用限制

說明

若您使用的產品不在"雲產品部署"功能支援的範圍內，請參考該產品的文檔進行部署。支援一鍵推送的產品見下方表格。
以下表格中的"更新已有認證"表示雲產品已部署過認證，當前需要替換認證的情境。

雲產品	部署任務適用情境	認證配置情境
Container Service Kubernetes 版本 ACK	更新已有認證	ACK 託管與專有叢集中更新 AlbConfig 認證和 Secret 認證重要請勿在Container Service ACK 中手動修改 Secret，系統會自動建立新的 Secret。
Serverless 應用引擎-網關路由	更新已有認證	網關路由轉寄協議配置 HTTPS 情境（ALB 和 CLB）
Function Compute FC	更新已有認證	HTTP 函數情境
微服務引擎-雲原生網關	更新已有認證	雲原生網關路由情境
雲原生 API Gateway	更新已有認證	HTTPS 網域名稱訪問 API 情境
Global Acceleration GA	更新已有認證	HTTPS 網域名稱安全加速訪問情境
應用型負載平衡 ALB 網路型負載平衡 NLB	更新已有認證	HTTPS 監聽來轉寄來自 HTTPS 協議的請求的情境（伺服器憑證）說明部署用戶端認證，請參見部署用戶端認證。
應用型負載平衡 ALB 網路型負載平衡 NLB	更新已有認證	HTTPS 監聽來轉寄來自 HTTPS 協議的請求的情境（伺服器憑證）說明部署用戶端認證，請參見部署用戶端認證。
內容分發網路 CDN	首次部署認證、更新已有認證	HTTPS 安全加速情境
全站加速 DCDN	首次部署認證、更新已有認證	HTTPS 安全加速情境
邊緣安全加速（ESA）	更新已有認證	HTTPS 安全加速情境
Object Storage Service	更新已有認證	HTTPS 的方式訪問 OSS 服務情境說明綁定 CDN 加速網域名稱，需在 CDN 控制台替換認證。
Web Application Firewall（WAF）	更新已有認證	CNAME 接入情境
DDoS 高防	更新已有認證	DDoS 高防網域名稱接入情境
人工智慧平台 PAI	更新已有認證	模型線上服務 EAS（Elastic Algorithm Service）：專屬網關使用自訂網域名

操作步驟

步驟一：購買部署次數

說明

僅部署上傳證書類型的認證時會消耗部署次數。非上傳證書類型，請直接前往步驟二：授權檢查。

部署次數不足時，請購買部署次數包，。
非上傳證書類型，以及不同阿里雲帳號（帳號需歸屬於同一個經過實名認證的個人或企業使用者）之間共用的認證，部署時不消耗部署次數。部署失敗時，將返還相應的部署次數。

步驟二：授權檢查

說明

非Container Service ACK 類型的部署任務，請直接前往步驟三：部署認證至雲產品資源。

部署認證至Container Service ACK 前，需要通過阿里雲帳號登入Container Service ACK 控制台，為 AliyunCASDefaultRole 角色授予營運人員管理目的地組群的許可權。否則，數位憑證管理服務控制台無法識別 Namespace（叢集命名空間）。

進入Container Service ACK 授權管理頁面，在RAM 角色頁簽，輸入 AliyunCASDefaultRole，單擊系統管理權限。
在許可權管理頁簽，為目的地組群添加營運人員許可權。

步驟三：部署認證至雲產品資源

部署單個認證至雲產品資源

首次使用部署服務，需要按照頁面提示進行授權，授權後即可建立部署任務。關於授權說明，請參見授權訪問雲資源。
登入數位憑證管理服務控制台。
在左側導覽列，選擇证书管理 > SSL證書管理 V2.0。
在SSL證書管理頁面，單擊對應的認證頁簽，並在認證列表的操作列，單擊部署。

通過私人CA服務簽發的認證會同步至上傳認證頁簽，您可以在該頁簽進行操作。
在創建任務頁面的選擇資源引導頁，選擇或調整對應的雲產品和資源（支援選擇一個或多個雲產品及對應資源），單擊預覽並提交。
- 系統會根據您選擇的SSL認證智能匹配已經配置過SSL認證的雲產品資源，您可以在智能匹配提示對話方塊，單擊確定，系統會將匹配到的雲產品資源添加到已選擇執行個體：地區，隨後您可以根據需求對已選擇的雲產品資源進行調整。
  
  在頁面右側的已選擇資源地區，已選中的雲產品資源按產品類型分組顯示（如API Gateway、Function Compute、Global Acceleration(GA)等），每個分組旁有清空連結，可按需移除對應分組的資源。
- 系統會自動識別並拉取所有雲產品中的資源，如果您在對應的雲產品中未找到目標資源，請您確認以下事項：
  - 在資源總數地區確認資源是否已完成同步，如果資源正在同步中（顯示為灰色狀態），請您耐心等待資源同步完成。資源同步時間取決於您的當前雲產品的資源數。
  - 如果雲產品資源同步完成後仍然沒有找到對應資源，請您確認是否滿足認證部署前提條件。
在任務預覽面板，確認部署的認證執行個體和雲產品資源資訊，如無問題，單擊提交。

預覽頁面會顯示對應雲產品匹配的認證個數和消耗的部署次數。認證匹配個數為0表示您選擇的認證與雲產品資源不匹配，會導致部署失敗，請您仔細核對選擇的認證。

批量部署認證至雲產品資源

首次使用部署服務，需要按照頁面提示進行授權，授權後即可建立部署任務。關於授權說明，請參見授權訪問雲資源。
登入數位憑證管理服務控制台。
在左側導覽列，選擇部署管理 > 雲產品部署。

在雲產品部署頁面，單擊創建任務，按照以下步驟部署SSL認證。

在基礎配置引導頁，配置任務名稱、連絡人和部署時間，單擊下一步。

配置項	說明
任務名稱	自訂部署任務名稱。
連絡人	選擇部署任務訊息提醒連絡人，用於接收部署任務提醒訊息，最多支援添加10個連絡人。
部署時間	立即部署：立即部署認證至阿里雲產品。自訂時間：指定部署任務執行時間，系統會在指定的時間啟動部署任務。

在選擇認證引導頁，選擇與雲產品資源對應的SSL認證，單擊下一步。
- 通過私人CA服務簽發的認證會同步至阿里雲上的證書 ID。您需要先上傳認證頁簽，您可以在該頁簽進行選擇。
- 一個部署任務只允許選擇一種認證類型下的認證。
在選擇資源引導頁，選擇或調整對應的雲產品和資源（支援選擇一個或多個雲產品及對應資源），單擊預覽並提交。

說明
SLB單個監聽綁定多個伺服器憑證情境不支援批量部署。
- 系統會根據您選擇的SSL認證智能匹配已經配置過SSL認證的雲產品資源，您可以在智能匹配提示對話方塊，單擊確定，系統會將匹配到的雲產品資源添加到已選擇資源地區，隨後您可以根據需求對已選擇的雲產品資源進行調整。
- 系統會自動識別並拉取所有雲產品中的資源，如果您在對應的雲產品中未找到目標資源，請您確認以下事項：
  - 在當前配置的所有副本的資源總數超過推薦值4C8G，可能會造成資源套件的快速消耗地區確認資源是否已完成同步，如果資源正在同步中（灰色狀態），請您耐心等待資源同步完成。資源同步時間取決於您的當前雲產品的資源數。
  - 如果雲產品資源同步完成後仍然沒有找到對應資源，請您確認是否滿足認證首次部署情境。部署說明，請參見前提條件。
在任務預覽面板，確認部署的認證執行個體和雲產品資源資訊，如無問題，單擊提交。

預覽頁面會顯示對應雲產品匹配的認證個數和消耗的部署次數。認證匹配個數為0表示您選擇的認證與雲產品資源不匹配，會導致部署失敗，請您仔細核對選擇的認證。

常見問題

SSL認證是否支援跨阿里雲帳號部署雲產品？

阿里雲SSL認證不能直接跨帳號部署。

如果多個帳號屬於同一實名認證主體，可通過認證共用功能實現免費跨帳號部署；具體操作，請參見上傳、同步和共用SSL認證。
若帳號實名認證主體不同，則需在原帳號下載認證後，再前往目標帳號手動上傳和部署。

認證部署成功後，雲產品就一定啟用了HTTPS嗎？

在數位憑證管理服務控制台完成雲產品部署後，僅表示認證已經推送至對應雲產品，您仍需前往對應的雲產品控制台驗證。

部署認證時雲產品資源數顯示為０？

建立部署任務時，系統會自動識別並拉取所有雲產品中的資源，如果您在對應的雲產品中未找到目標資源，請您確認以下事項：

在資源總數地區確認資源是否同步完成，如果資源正在同步中（如圖示灰色狀態），請耐心等待。資源同步時間取決於當前雲產品的資源數。
如果雲產品資源同步完成後，仍無法找到對應資源，請確認是否滿足認證部署首次配置，如果不滿足請前往對應的雲產品控制台部署。

SSL 憑證簽發後，是否只需在網域名稱解析服務中配置 A 記錄指向公網 IP 即可訪問 HTTPS？

不是。配置 A 記錄僅實現網域名稱到 IP 的解析，並未啟用 HTTPS 加密。SSL 憑證簽發後，還需要完成以下步驟才能正常訪問 HTTPS：

部署認證：將 SSL 憑證安裝到 Web 服務器（如 Nginx、Apache 等）或阿里雲雲產品上，並確保認證檔案與私密金鑰配置正確。
ICP 備案：網域名稱需完成 ICP 備案後方可正常訪問。

如何將已簽發的 SSL 憑證部署到 API Gateway並驗證 HTTPS 生效？

部署步驟：

登入 API Gateway控制台，將已簽發的 SSL 憑證綁定到對應的 HTTPS 服務或分組。
完成綁定後，等待配置生效（通常需要幾分鐘）。

驗證方法：

使用 curl 命令驗證 HTTPS 是否生效：

curl -v https://<網域名稱>

檢查返回結果中的以下資訊：

包含 SSL certificate verify ok 字樣，表示認證驗證通過。
包含認證詳細資料（如 subject、expire date 等），確認認證與預期一致。
HTTP 狀態代碼正常（如 200 或業務預期的狀態代碼），表示服務可正常訪問。

若以上條件均滿足，則表示 SSL 憑證已成功部署到 API Gateway且 HTTPS 已生效。

Certificate Management Service：雲產品部署：部署 SSL 憑證至 SLB/CDN/WAF 等雲產品