全部產品
Search
文件中心

Certificate Management Service:SSL 憑證部署方案選型

更新時間:May 20, 2026

本文介紹如何根據業務需求選擇合適的認證部署方案,為網站和應用啟用 HTTPS 安全訪問。

適用範圍

SSL 憑證部署套件含兩個環節:

  • 在服務端部署 SSL 憑證(必須):若需要為網站、API 或應用啟用 HTTPS,必須在服務端部署 SSL 憑證。

  • 在用戶端安裝根憑證(可選):僅當訪問使用自我簽署憑證的系統、用戶端裝置無法識別憑證授權單位、根憑證缺失或已到期時,才需要在用戶端安裝根憑證。用戶端需要預先安裝根憑證以確保安全通訊和驗證伺服器身份,通常用戶端作業系統或者瀏覽器已預先安裝主流根憑證。

在服務端部署 SSL 憑證

前提條件

開始部署前,確保滿足以下條件:

  • 認證狀態:已擁有由權威機構簽發的 SSL 憑證,且認證狀態已簽發。如需購買和申請認證,請參見購買 SSL 憑證申請免費 SSL 憑證

  • 網域名稱匹配:確保認證能夠匹配所有需保護的網域名稱。如需添加或修改網域名稱,可根據需求購買正式認證追加和更換網域名稱

    • 精確網域名稱:僅對指定網域名稱生效。

      • example.com 僅對 example.com 生效。

      • www.example.com 僅對 www.example.com 生效。

    • 萬用字元網域名稱:僅對其一級子網域名稱生效。

      • *.example.com 對 www.example.coma.example.com 等一級子網域名稱生效。

      • *.example.com 對根網域名稱 example.com 和多級子網域名稱 a.b.example.com 不生效。

    說明

    如需匹配多級子網域名稱,綁定網域名稱中需包含該網域名稱(如 a.b.example.com),或包含相應的萬用字元網域名稱(如 *.b.example.com)。

  • 網域名稱解析:網域名稱已配置解析記錄並解析至伺服器的公網 IP。

確認認證部署位置

需要在處理 HTTPS 流量的所有網路節點上部署 SSL 憑證,包括 Web 服務器(如 Nginx、Apache、IIS)、應用型負載平衡(ALB)、內容分發網路(CDN)、Web Application Firewall(WAF)、雲原生 API Gateway等。在這些節點上部署認證,可提供從用戶端到服務端的全鏈路加密,防止中間環節出現明文傳輸。

根據流量路徑,認證部署分為以下兩種情境:

  • 流量直接到達伺服器:當公網流量直接存取來源站點 Web 服務器時,流量不經過其他中間節點。

  • 流量經過多個網路節點:當使用者通過網域名稱訪問網站時,流量通常會經過 CDN、ALB 等多個中間節點,然後才被轉寄到來源站點伺服器。

流量直接到達伺服器

當公網流量直接存取來源站點 Web 服務器時,SSL 憑證僅需部署在該 Web 服務器上。

流量經過多個網路節點

如果流量在到達目標伺服器前,需經過 CDN、WAF 等多個中間節點,則每個處理 HTTPS 流量的節點均需部署認證。

重要

本文以"使用者 → CDN → WAF → 負載平衡器 (ALB) → 來源站點伺服器"架構為例說明多節點情境下的認證部署策略。實際部署時,請根據您的網路架構在相應節點部署認證。

在不同情境下,認證的部署節點及傳輸加密範圍如下:

情境

加密鏈路(HTTPS)

明文鏈路(HTTP)

需部署認證的節點

說明

情境一

使用者 ↔ CDN

CDN → WAF → ALB → 來源站點伺服器

CDN

僅加密用戶端到 CDN 的流量,成本最低,但內網存在明文傳輸風險。

情境二

使用者 ↔ WAF

WAF → ALB → 來源站點伺服器

CDN、WAF

加密範圍擴充至 WAF,提升了安全性。

情境三

使用者 ↔ ALB

ALB → 來源站點伺服器

CDN、WAF、ALB

僅來源站點伺服器前一跳為明文傳輸,安全性較高。

情境四

使用者 ↔ 來源站點伺服器

CDN、WAF、ALB、來源站點伺服器

實現全鏈路加密,提供最進階別的安全保障。

選擇認證部署方案

說明

認證部署過程中如有任何問題需要協助,請聯絡商務經理進行諮詢

選擇 SSL 憑證部署方案前,需明確認證的部署目標(伺服器或雲產品),並按以下規則選擇:

  • 部署至伺服器:適用於阿里雲 ECS、Simple Application Server、非阿里雲伺服器及自建伺服器。

  • 部署至雲產品:適用於阿里雲的 SLB、CDN、WAF 等雲產品(不含 ECS 和Simple Application Server),以及騰訊雲、華為雲、AWS 等第三方雲平台的 CDN、WAF、CLB 等雲產品。

部署至伺服器

請根據實際情況選擇以下合適的方案,將認證部署至伺服器中。

阿里雲 ECS、Simple Application Server

請根據實際使用的 Web 應用程式伺服器以及作業系統選擇合適的認證部署教程。若需確認 Web 服務器類型,可參考如何查看 Web 服務器類型

通過控制台自動部署

可將認證一鍵部署至指定的 ECS 可信執行個體,或將新認證自動更新至已配置認證的 ECS 或Simple Application Server,以提升部署效率並降低配置風險。具體操作請參見部署 SSL 憑證至 ECS/Simple Application Server

登入伺服器部署

伺服器作業系統

部署教程

Linux 系統

在 Nginx 安裝 SSL 憑證(Linux)

在 Apache 安裝 SSL 憑證(Linux)

在 Tomcat 安裝 SSL 憑證(Linux)

在 IIS 安裝 SSL 憑證(Linux)

在 Tengine 安裝 SSL 憑證

在 Lighttpd 安裝 SSL 憑證

在 Jetty 安裝 SSL 憑證

在 GlassFish 安裝 SSL 憑證

Windows 系統

在 Nginx 安裝 SSL 憑證(Windows)

在 Apache 安裝 SSL 憑證(Windows)

在 Tomcat 安裝 SSL 憑證(Windows)

在 IIS 安裝 SSL 憑證(Windows)

在 Exchange Server 安裝 SSL 憑證

非阿里雲伺服器

請根據實際使用的 Web 應用程式伺服器以及作業系統選擇合適的認證部署教程。若需確認 Web 服務器類型,可參考如何查看 Web 服務器類型

伺服器作業系統

部署教程

Linux 系統

在 Nginx 安裝 SSL 憑證(Linux)

在 Apache 安裝 SSL 憑證(Linux)

在 Tomcat 安裝 SSL 憑證(Linux)

在 IIS 安裝 SSL 憑證(Linux)

在 Tengine 安裝 SSL 憑證

在 Lighttpd 安裝 SSL 憑證

在 Jetty 安裝 SSL 憑證

在 GlassFish 安裝 SSL 憑證

Windows 系統

在 Nginx 安裝 SSL 憑證(Windows)

在 Apache 安裝 SSL 憑證(Windows)

在 Tomcat 安裝 SSL 憑證(Windows)

在 IIS 安裝 SSL 憑證(Windows)

在 Exchange Server 安裝 SSL 憑證

部署至雲產品

阿里雲

  • 部署國際標準 SSL 憑證(RSA/ECC)

    通過數位憑證管理服務控制台部署

    在以下情境中,可使用數位憑證管理服務控制台提供的雲產品部署功能,將認證一鍵推送到相關產品中,無需手動上傳。具體操作請參見部署 SSL 憑證至 SLB/CDN/WAF 等雲產品

    說明
    • 若您使用的產品不在"雲產品部署"功能支援的範圍內,請參考該產品的文檔進行部署。支援一鍵推送的產品見下方表格。

    • 以下表格中的"更新已有認證"表示雲產品已部署過認證,當前需要替換認證的情境。

    雲產品

    部署任務適用情境

    認證配置情境

    Container Service Kubernetes 版本 ACK

    更新已有認證

    ACK 託管與專有叢集中更新 AlbConfig 認證和 Secret 認證

    重要

    請勿在Container Service ACK 中手動修改 Secret,系統會自動建立新的 Secret。

    Serverless 應用引擎-網關路由

    更新已有認證

    網關路由轉寄協議配置 HTTPS 情境(ALB 和 CLB)

    Function Compute FC

    更新已有認證

    HTTP 函數情境

    微服務引擎-雲原生網關

    更新已有認證

    雲原生網關路由情境

    雲原生 API Gateway

    更新已有認證

    HTTPS 網域名稱訪問 API 情境

    Global Acceleration GA

    更新已有認證

    HTTPS 網域名稱安全加速訪問情境

    • 應用型負載平衡 ALB

    • 網路型負載平衡 NLB

    更新已有認證

    HTTPS 監聽來轉寄來自 HTTPS 協議的請求的情境(伺服器憑證)

    說明

    部署用戶端認證,請參見部署用戶端認證

    內容分發網路 CDN

    首次部署認證、更新已有認證

    HTTPS 安全加速情境

    全站加速 DCDN

    首次部署認證、更新已有認證

    HTTPS 安全加速情境

    邊緣安全加速(ESA)

    更新已有認證

    HTTPS 安全加速情境

    Object Storage Service

    更新已有認證

    HTTPS 的方式訪問 OSS 服務情境

    說明

    綁定 CDN 加速網域名稱,需在 CDN 控制台替換認證。

    Web Application Firewall(WAF)

    更新已有認證

    CNAME 接入情境

    DDoS 高防

    更新已有認證

    DDoS 高防網域名稱接入情境

    人工智慧平台 PAI

    更新已有認證

    模型線上服務 EAS(Elastic Algorithm Service):專屬網關使用自訂網域名

    通過雲產品控制台部署

    請在下表中找到對應的雲產品後,參考相關文檔一欄的文檔前往雲產品的控制台,根據指引完成後續的認證部署。

    雲產品

    認證配置情境

    相關文檔

    Container Service Kubernetes 版本 ACK

    ACK 託管與專有叢集中更新 AlbConfig 認證和 Secret 認證

    重要

    請勿在Container Service ACK 中手動修改 Secret,系統會自動建立新的 Secret。

    Serverless 應用引擎-網關路由

    網關路由轉寄協議配置 HTTPS 情境(ALB 和 CLB)

    Function Compute FC

    HTTP 函數情境

    綁定自訂網域名

    微服務引擎-雲原生網關

    雲原生網關路由情境

    配置 HTTPS 認證

    雲原生 API Gateway

    HTTPS 網域名稱訪問 API 情境

    綁定自訂網域名

    Global Acceleration GA

    HTTPS 網域名稱安全加速訪問情境

    • 應用型負載平衡 ALB

    • 網路型負載平衡 NLB

    HTTPS 監聽來轉寄來自 HTTPS 協議的請求的情境(伺服器憑證)

    說明

    部署用戶端認證,請參見部署用戶端認證

    內容分發網路 CDN

    HTTPS 安全加速情境

    配置 HTTPS 認證

    全站加速 DCDN

    HTTPS 安全加速情境

    配置 HTTPS 認證

    邊緣安全加速(ESA)

    HTTPS 安全加速情境

    配置 HTTPS 認證

    Object Storage Service

    HTTPS 的方式訪問 OSS 服務情境

    說明

    綁定 CDN 加速網域名稱,需在 CDN 控制台替換認證。

    配置 HTTPS 認證

    Web Application Firewall(WAF)

    CNAME 接入情境

    DDoS 高防

    DDoS 高防網域名稱接入情境

    配置 HTTPS 認證

    人工智慧平台 PAI

    模型線上服務 EAS(Elastic Algorithm Service):專屬網關使用自訂網域名

    專屬網關使用自訂網域名

騰訊雲、華為雲和 AWS

  • 通過數位憑證管理服務控制台部署

    使用阿里雲數位憑證管理服務控制台可將認證部署至第三方雲平台。操作步驟請參見部署認證至三方雲平台。支援的雲平台和服務如下:

    • 騰訊雲:內容分發網路 CDN、Web Application Firewall、負載平衡 CLB

    • AWS:Amazon CloudFront(CDN)、負載平衡(ALB、NLB 和 CLB)

    • 華為雲:內容分發網路 CDN、彈性負載平衡 ELB

  • 參考雲廠商官網文檔部署

    可參考以下雲廠商的官方文檔進行認證部署:

在用戶端安裝根憑證

對於 IoT 裝置、嵌入式系統、企業內部系統、離線 App、舊版本瀏覽器、Java 用戶端等業務情境,一般不會預埋 CA 根憑證。部署 SSL 憑證後,用戶端可能不信任該認證,需要手動下載根憑證並安裝至用戶端。具體操作可參考在用戶端安裝根憑證

常見問題

FAQ 1:如何下載根憑證?

可參考下載和安裝根憑證,下載相關認證品牌的根憑證。

FAQ 2:憑證鏈結不完整、缺少中間認證時怎麼辦?

用戶端的根憑證和中間認證缺失或到期時,請參考如何解決網站SSL憑證鏈結不完整,下載安裝缺失的根憑證或中間認證後,重新嘗試訪問。

FAQ 3:部署認證時提示"憑證鏈結中的一個或多個中間認證丟失"?

部分服務端系統部署 SSL 憑證時(如 Windows 2008 R2 中的 IIS),可能會提示此錯誤。需在服務端安裝缺失的根憑證或中間認證。

FAQ 4:如何查看 Web 服務器類型?

使用瀏覽器開發人員工具查看

  1. 使用瀏覽器訪問您的網域名稱。

  2. 按 F12 開啟開發人員工具,查看伺服器類型。

    image.png

使用命令方式查看

  1. 登入伺服器。

  2. 在伺服器上執行以下命令查看 Web 服務器類型:

    curl -I https://yourdomain
    說明

    yourdomain是必選參數,需替換為實際的網站網域名稱,例如curl -I https://www.aliyundoc.com。參數-I(大寫 i)表示僅擷取回應標頭資訊。

    查詢結果樣本如下:

    HTTP/1.1 200 OK
    Server: nginx/1.24.0
    Date: Thu, 15 May 2026 10:00:00 GMT
    Content-Type: text/html

    其中Server欄位的值即為 Web 服務器類型,樣本中為 Nginx。

    image

諮詢網站搭建工程師

如果仍然查詢不到 Web 服務器類型,請諮詢網站搭建工程師。如果您遇到其他問題,請聯絡商務經理進行諮詢