正式SSL認證涵蓋多種類型和品牌,適用於不同規模的網站,包括但不限於電商、小型企業、大型企業及個人使用者等。此外,正式SSL認證還包括萬用字元認證、多網域名稱認證和混合網域名稱認證,以滿足不同業務需求,例如保護多個子網域名稱或多個不同的網域名稱。本文為您介紹正式認證購買、申請、簽發以及安裝流程。
流程概述
在您的伺服器中部署正式SSL認證只需要三步:
前提條件
如果待部署SSL認證的網站計劃部署在中國內地,則您需要按照工信部的相關要求完成ICP備案,否則將影響網站的正常訪問。更多資訊,請參見什麼是ICP備案。
步驟一:購買正式SSL認證
登入數位憑證管理服務控制台。
在左側導覽列,選擇。
在正式認證頁簽,單擊立即購買進入購買頁面,參考下表選擇認證規格,單擊立即購買並完成支付。
參數
說明
網域名稱類型
選擇單網域名稱。表示一張SSL認證綁定一個主網域名稱、一個子網域名稱或一個公網IP(IPv4)。例如example.com、1.1.X.X等。
品牌
選擇Alibaba Cloud。Alibaba Cloud阿里雲自有SSL認證品牌。相較於其他品牌認證,Alibaba Cloud品牌認證價格更為優惠。
認證類型
預設為DV SSL,即網域名稱型認證。適用於個人網站、App服務、展示型網站、企業測試或個人測試網站。
數量
預設為1,不支援增加。表示購買1張認證。
服務年限
選擇SSL認證服務的時間長度為1年,表示該訂單包含1張有效期間為1年的認證。
說明更多關於正式認證購買配置說明,請參見購買正式認證。
步驟二:申請SSL認證
購買認證後返回至正式認證頁簽,在操作列,單擊認證申請。
在認證申請面板,參考以下圖表配置認證申請參數,並單擊提交審核。
配置項
說明
認證綁定網域名稱
輸入您的網站網域名稱。例如
example.com。網域名稱驗證方式
選擇驗證網域名稱持有人身份的方式。
由於本樣本網域名稱
example.com的解析不在當前帳號(三方解析或其他阿里雲帳號),所以只能選擇手動DNS驗證或檔案驗證。在提交審核後,您需要根據頁面指導完成網域名稱驗證,否則認證無法簽發。如果網域名稱的Alibaba Cloud DNS服務所在帳號與當前阿里雲帳號相同,則此處自動匹配自動DNS驗證方式。提交審核後,無需您手動設定,系統會自動為您完成網域名稱驗證,您只需等待認證簽發即可。
連絡人
在下拉式清單,單擊建立連絡人,建立本次認證申請的連絡人。如果已建立過連絡人,可以直接選擇已有的連絡人。請您務必確保連絡人資訊準確且有效。
所在地
選擇您所在的城市或地區。
密鑰演算法
選擇RSA,即SSL認證使用的密碼編譯演算法。
RSA演算法是目前在全球應用廣泛的非對稱式加密演算法,相容性好。
CSR產生方式
選擇系統產生,表示由數位憑證管理服務自動使用您在密鑰演算法指定的密碼編譯演算法產生CSR檔案。
CSR(Certificate Signing Request)檔案是SSL認證的請求檔案,包含伺服器資訊和單位資訊,需要提交給CA中心審核。
說明更多關於申請認證參數限制及配置說明,請參見申請認證。
可選:如果您的網域名稱所有權驗證方式選擇為手動DNS驗證或檔案驗證,請根據頁面引導完成網域名稱驗證。關於網域名稱所有權驗證的更多介紹以及操作樣本,請參見網域名稱所有權驗證。
如果您的網域名稱所有權選擇為自動DNS驗證,您無需額外操作,等待認證簽發即可。DV認證平均簽發時間長度為1~15分鐘。簽發後的狀態如下圖:
步驟三:部署SSL認證
部署認證到Web伺服器
下文以CentOS 8.0 64位作業系統、Nginx 1.14.2為例介紹。不同版本的作業系統或Web伺服器,部署操作可能有所差異,如有問題,請聯絡商務經理進行諮詢。關於 SSL 憑證如何部署到其他 Web 服務器(如 Apache、Tomcat和 IIS 等),請參見登入伺服器部署(支援國際/國密SSL認證)。
登入數位憑證管理服務控制台。
在左側導覽列,選擇。
在正式認證頁簽,定位到目標認證,在操作列,單擊更多,然後選擇下載頁簽。
在伺服器類型為Nginx的操作列,單擊下載。
解壓縮已下載的SSL認證壓縮包。
根據您在提交認證申請時選擇的CSR產生方式,解壓縮獲得的檔案不同,具體如下表所示。
CSR產生方式
認證壓縮包包含的檔案
系統產生或選擇已有的CSR
認證檔案(PEM格式):Nginx支援安裝PEM格式的檔案,PEM格式的認證檔案是採用Base64編碼的文字檔,且包含完整憑證鏈結。解壓後,該檔案以
認證ID_認證綁定網域名稱命名。私密金鑰檔案(KEY格式):預設以認證綁定網域名稱命名。
手動填寫
如果您填寫的是通過數位憑證管理服務控制台建立的CSR,下載後包含的認證檔案與系統產生的一致。
如果您填寫的不是通過數位憑證管理服務控制台建立的CSR,下載後只包括認證檔案(PEM格式),不包含認證密碼或私密金鑰檔案。您可以通過認證工具,將認證檔案和您持有的認證密碼或私密金鑰檔案轉換成所需格式。轉換認證格式的具體操作,請參見認證格式轉換。
登入到伺服器,進入終端,執行以下命令,在Nginx的conf目錄下建立一個用於存放認證的目錄。
#進入Nginx預設設定檔目錄。該目錄為手動編譯安裝Nginx時的預設目錄,如果您修改過預設安裝目錄或使用其他方式安裝,請根據實際配置調整。 cd /usr/local/nginx/conf #建立認證目錄,命名為cert。 mkdir cert將認證檔案和私密金鑰檔案上傳到Nginx伺服器的認證目錄(/usr/local/nginx/conf/cert)。
說明您可以使用遠程登入工具的本地檔案上傳功能來上傳檔案。例如PuTTY、Xshell或WinSCP等工具。如果您使用的是阿里雲Elastic Compute Service,關於上傳檔案的具體操作,請參見上傳或下載檔案。
編輯Nginx設定檔nginx.conf,修改與認證相關的配置。
執行以下命令,開啟設定檔。
sudo vim /usr/local/nginx/conf/nginx.conf說明如果您不清楚nginx.conf的位置,可以執行
nginx -t,查看nginx的設定檔路徑。在nginx.conf中定位到HTTPS server屬性配置。
說明如果確定nginx.conf或include指令所引用的檔案不存在上圖server塊,請您自行手動進行添加。
刪除行首注釋符號#,並參考如下樣本進行修改。
server { #HTTPS的預設訪問連接埠443。 #如果未在此處配置HTTPS的預設訪問連接埠,可能會造成Nginx無法啟動。 listen 443 ssl; #填寫認證綁定的網域名稱 server_name <YOURDOMAIN>; #填寫認證檔案絕對路徑 ssl_certificate cert/<cert-file-name>.pem; #填寫認證私密金鑰檔案絕對路徑 ssl_certificate_key cert/<cert-file-name>.key; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; #自訂設定使用的TLS協議的類型以及加密套件(以下為配置樣本,請您自行評估是否需要配置) #TLS協議版本越高,HTTPS通訊的安全性越高,但是相較於低版本TLS協議,高版本TLS協議對瀏覽器的相容性較差。 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3; #表示優先使用服務端加密套件。預設開啟 ssl_prefer_server_ciphers on; location / { root html; index index.html index.htm; } }可選:設定HTTP請求自動跳轉到HTTPS。
如果您希望所有的HTTP訪問自動跳轉到HTTPS頁面,可通過rewrite指令重新導向到HTTPS。
重要請在nginx.conf檔案中定位到http server的配置代碼塊,新增配置重新導向的代碼。
如果找不到上述程式碼片段,可以將以下程式碼片段放置在nginx.conf檔案中
server {}程式碼片段後面,即設定HTTP請求自動跳轉到HTTPS後,nginx.conf檔案中會存在兩個server {}程式碼片段。server { listen 80; #填寫認證綁定的網域名稱 server_name <YOURDOMAIN>; #將所有HTTP請求通過rewrite指令重新導向到HTTPS。 rewrite ^(.*)$ https://$host$1; location / { index index.html index.htm; } }配置效果如下圖所示:
執行以下命令,重啟Nginx服務。
#進入Nginx服務的可執行目錄。 cd /usr/local/nginx/sbin #重新載入設定檔。 ./nginx -s reload說明報錯
the "ssl" parameter requires ngx_http_ssl_module:您需要重新編譯Nginx並在編譯安裝的時候加上--with-http_ssl_module配置。報錯
"/cert/3970497_demo.aliyundoc.com.pem":BIO_new_file() failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/cert/3970497_demo.aliyundoc.com.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file):您需要去掉認證相對路徑最前面的/。例如,您需要去掉/cert/cert-file-name.pem最前面的/,使用正確的相對路徑cert/cert-file-name.pem。
驗證部署是否成功
認證部署完成後,您可通過訪問認證綁定的網域名稱驗證該認證是否部署成功。
https://yourdomain #將yourdomain替換為您的實際網域名稱如果瀏覽器的地址欄出現
表徵圖,表示認證已經安裝成功。從Chrome 117版本開始,Chrome瀏覽器將地址欄HTTPS的
改為了
表徵圖。請單擊該表徵圖,參考如下樣本,出現
標誌時,表示認證安裝成功。
部署認證到雲產品
SSL認證簽發成功後,您可以將認證部署到您的Web伺服器或阿里雲產品中。本文將以阿里雲內容分發網路CDN為例,介紹如何將認證部署至該雲產品。如果您想進一步瞭解將認證部署到其他雲產品,或部署到Web伺服器中的操作,請參見部署SSL認證。
登入數位憑證管理服務控制台。
在左側導覽列,選擇。
在正式認證頁簽,定位到您已簽發的認證,在操作列,單擊部署。
在選擇資源引導頁,選擇內容分髮網絡(CDN)和對應資源,單擊預覽並提交。
系統會自動識別並拉取所有雲產品中的資源,如果您在對應的雲產品中未找到目標資源,請在資源總數地區確認資源是否已完成同步,如果資源正在同步中(如圖示灰色狀態),請您耐心等待資源同步完成。資源同步時間取決於您的當前雲產品的資源數。
在任務預覽面板,確認部署的認證執行個體和雲產品資源資訊,如無問題,單擊提交。
預覽頁面會顯示對應雲產品匹配的認證個數和消耗的部署次數。認證匹配個數為0表示您選擇的認證與雲產品資源不匹配,會導致部署失敗,請您仔細核對選擇的認證。
驗證部署是否成功
登入CDN控制台。
在左側導覽列,單擊域名管理。
在域名管理頁面,找到目標網域名稱,單擊操作列的管理。
在指定網域名稱的左側導覽列,單擊HTTPS配置。
查看已部署的SSL認證資訊,包括認證的狀態和有效期間等。如果 HTTPS 認證顯示為已開啟,說明認證已成功部署。
如果您剛剛完成了認證的部署,可能需要等待一段時間,讓CDN緩衝更新,這樣才能看到最新的認證資訊。
相關文檔
安裝SSL認證後,如果認證未生效,請參見根據瀏覽器錯誤提示解決認證部署問題。
如需手動部署至Web應用伺服器,例如Nginx、Apache等,請參見登入伺服器部署(支援國際/國密SSL認證)。