本文介紹如何建立認證部署任務,在指定的部署時間,單個或批量地將SSL認證部署至阿里雲雲產品。
前提條件
本文不涉及ECS、Simple Application Server的操作指導,如需將認證部署至ECS或Simple Application Server,請參見更新認證(非首次部署)至阿里雲ECS或Simple Application Server。
已簽發的SSL認證名稱不能包含中文。如圖:
確認認證狀態,以及認證和目標網域名稱的匹配情況。
使用限制
部署國際標準認證
說明若您使用的產品不在“雲產品部署”功能支援的範圍內,請參考相關雲產品的文檔進行部署。
以下表格中的“更新已有認證”表示雲產品已部署過認證,當前需要替換認證的情境。
雲產品
部署任務適用情境
認證配置情境
Container ServiceKuberbetes版本ACK
更新已有認證
ACK託管與專有叢集:更新AlbConfig認證配置、更新Secret認證
重要部署至 Secret 時,請勿在Container ServiceACK中手動修改。
Serverless應用引擎-網關路由
更新已有認證
網關路由轉寄協議配置HTTPS情境(ALB和CLB)
Function ComputeFC
更新已有認證
HTTP函數情境
微服務引擎-雲原生網關
更新已有認證
雲原生網關路由情境
API Gateway
更新已有認證
HTTPS網域名稱訪問API情境
Global AccelerationGA
更新已有認證
HTTPS網域名稱安全加速訪問情境
應用型負載平衡ALB
網路型負載平衡NLB
更新已有認證
HTTPS監聽來轉寄來自HTTPS協議的請求的情境(伺服器憑證)
說明部署用戶端認證,請參見配置全鏈路HTTPS訪問實現加密通訊。
內容分發網路CDN
首次部署認證、更新已有認證
HTTPS安全加速情境
全站加速DCDN
首次部署認證、更新已有認證
HTTPS安全加速情境
邊緣安全加速(ESA)
更新已有認證
HTTPS安全加速情境
Object Storage Service
更新已有認證
HTTPS的方式訪問OSS服務情境
說明綁定CDN加速網域名稱,需在CDN控制台替換認證。
Web Application Firewall(WAF)
更新已有認證
CNAME接入情境
DDoS高防
更新已有認證
DDoS高防網域名稱接入情境
人工智慧平台 PAI
更新已有認證
模型線上服務EAS(Elastic Algorithm Service):專屬網關使用自訂網域名
操作步驟
步驟一:購買部署次數
僅部署上傳證書類型的認證時會消耗部署次數。非上傳證書類型,請直接前往步驟二:授權檢查。
部署次數不足時,請購買部署次數包,。
非上傳證書類型,以及不同阿里雲帳號(帳號需歸屬於同一個經過實名認證的個人或企業使用者)之間共用的認證,部署時不消耗部署次數。部署失敗時,將返還相應的部署次數。
步驟二:授權檢查
非Container ServiceACK類型的部署任務,請直接前往步驟三:部署認證至雲產品資源。
部署認證至Container ServiceACK前,您需要通過阿里雲帳號登入Container ServiceACK控制台,對AliyunCASDefaultRole角色授予營運人員管理目的地組群的許可權,否則數位憑證管理服務控制台無法識別Namespace(叢集命名空間)。
進入Container ServiceACK授權管理頁面,並在RAM角色管理頁簽,輸入
AliyunCASDefaultRole,單擊系統管理權限。在許可權管理頁簽,對目的地組群添加營運人員許可權。
步驟三:部署認證至雲產品資源
部署單個認證至雲產品資源
首次使用部署服務,需要按照頁面提示進行授權,授權後即可建立部署任務。關於授權說明,請參見授權訪問雲資源。
登入數位憑證管理服務控制台。
在左側導覽列,選擇。
在SSL證書管理頁面,單擊對應的認證頁簽,並在認證列表的操作列,單擊部署。
通過私人CA服務簽發的認證會同步至上傳認證頁簽,您可以在該頁簽進行操作。
在創建任務頁面的選擇資源引導頁,選擇或調整對應的雲產品和資源(支援選擇一個或多個雲產品及對應資源),單擊預覽並提交。
系統會根據您選擇的SSL認證智能匹配已經配置過SSL認證的雲產品資源,您可以在智能匹配提示對話方塊,單擊確定,系統會將匹配到的雲產品資源添加到已選擇資源地區,隨後您可以根據需求對已選擇的雲產品資源進行調整。
系統會自動識別並拉取所有雲產品中的資源,如果您在對應的雲產品中未找到目標資源,請您確認以下事項:
在資源總數地區確認資源是否已完成同步,如果資源正在同步中(如圖示灰色狀態),請您耐心等待資源同步完成。資源同步時間取決於您的當前雲產品的資源數。
如果雲產品資源同步完成後仍然沒有找到對應資源,請您確認是否滿足認證部署前提條件。
在任務預覽面板,確認部署的認證執行個體和雲產品資源資訊,如無問題,單擊提交。
預覽頁面會顯示對應雲產品匹配的認證個數和消耗的部署次數。認證匹配個數為0表示您選擇的認證與雲產品資源不匹配,會導致部署失敗,請您仔細核對選擇的認證。
批量部署認證至雲產品資源
首次使用部署服務,需要按照頁面提示進行授權,授權後即可建立部署任務。關於授權說明,請參見授權訪問雲資源。
登入數位憑證管理服務控制台。
在左側導覽列,選擇。
在雲產品部署頁面,單擊創建任務,按照以下步驟部署SSL認證。
在基礎配置引導頁,配置任務名稱、連絡人和部署時間,單擊下一步。
配置項
說明
任務名稱
自訂部署任務名稱。
連絡人
選擇部署任務訊息提醒連絡人,用於接收部署任務提醒訊息,最多支援添加10個連絡人。
部署時間
立即部署:立即部署認證至阿里雲產品。
自訂時間:指定部署任務執行時間,系統會在指定的時間啟動部署任務。
在選擇認證引導頁,選擇與雲產品資源對應的SSL認證,單擊下一步。
通過私人CA服務簽發的認證會同步至上傳認證頁簽,您可以在該頁簽進行選擇。
一個部署任務只允許選擇一種認證類型下的認證。
在選擇資源引導頁,選擇或調整對應的雲產品和資源(支援選擇一個或多個雲產品及對應資源),單擊預覽並提交。
說明SLB單個監聽綁定多個伺服器憑證情境不支援批量部署。
系統會根據您選擇的SSL認證智能匹配已經配置過SSL認證的雲產品資源,您可以在智能匹配提示對話方塊,單擊確定,系統會將匹配到的雲產品資源添加到已選擇資源地區,隨後您可以根據需求對已選擇的雲產品資源進行調整。
系統會自動識別並拉取所有雲產品中的資源,如果您在對應的雲產品中未找到目標資源,請您確認以下事項:
在資源總數地區確認資源是否已完成同步,如果資源正在同步中(如圖示灰色狀態),請您耐心等待資源同步完成。資源同步時間取決於您的當前雲產品的資源數。
如果雲產品資源同步完成後仍然沒有找到對應資源,請您確認是否滿足認證首次部署情境。部署說明,請參見前提條件。
在任務預覽面板,確認部署的認證執行個體和雲產品資源資訊,如無問題,單擊提交。
預覽頁面會顯示對應雲產品匹配的認證個數和消耗的部署次數。認證匹配個數為0表示您選擇的認證與雲產品資源不匹配,會導致部署失敗,請您仔細核對選擇的認證。
相關操作
查看部署任務詳情
在雲產品部署頁面,定位到目標部署任務,在操作列,單擊詳情。
在任務詳情頁,您可以查看目標雲產品中執行個體資源的部署情況,如果有部署失敗的資源,您可以在操作列,查看失敗原因並做進一步處理。
如定位不出具體的失敗原因,請聯絡商務經理進行諮詢。
復原部署任務
部署任務復原成功後不返還部署次數。
認證部署成功後,如發現部署的認證不正確或出於其他原因想要撤銷當前認證的部署,可通過以下步驟復原到部署開始前的狀態:
在雲產品部署頁面,定位到目標部署任務,在操作列,單擊詳情。
在任務詳情頁,單擊對應雲產品,並定位到目標雲產品中的執行個體資源,在操作列,單擊復原。
復原成功後,任務狀態變為復原成功。
刪除部署任務
刪除任務後無法恢複,請謹慎操作。
在雲產品部署頁面,定位到目標部署任務,在操作列,單擊刪除。您也可以選中多個部署任務,在列表下方單擊刪除。
常見問題
SSL認證是否支援跨阿里雲帳號部署雲產品?
阿里雲SSL認證不能直接跨帳號部署。
如果多個帳號屬於同一實名認證主體,可通過認證共用功能實現免費跨帳號部署;具體操作,請參見上傳、同步和共用SSL認證。
若帳號實名認證主體不同,則需在原帳號下載認證後,再前往目標帳號手動上傳和部署。
認證部署成功後,雲產品就一定啟用了HTTPS嗎?
在數位憑證管理服務控制台完成雲產品部署後,僅表示認證已經推送至對應雲產品,您仍需前往對應的雲產品控制台驗證。
部署認證時雲產品資源數顯示為0?
建立部署任務時,系統會自動識別並拉取所有雲產品中的資源,如果您在對應的雲產品中未找到目標資源,請您確認以下事項:
在資源總數地區確認資源是否同步完成,如果資源正在同步中(如圖示灰色狀態),請耐心等待。資源同步時間取決於當前雲產品的資源數。
如果雲產品資源同步完成後,仍無法找到對應資源,請確認是否滿足認證部署首次配置,如果不滿足請前往對應的雲產品控制台部署。