本文介紹如何根據業務需求選擇合適的認證部署方案,為網站和應用啟用 HTTPS 安全訪問。
適用範圍
SSL 憑證部署套件含兩個環節:
在服務端部署 SSL 憑證(必須):若需要為網站、API 或應用啟用 HTTPS,必須在服務端部署 SSL 憑證。
在用戶端安裝根憑證(可選):僅當訪問使用自我簽署憑證的系統、用戶端裝置無法識別憑證授權單位、根憑證缺失或已到期時,才需要在用戶端安裝根憑證。用戶端需要預先安裝根憑證以確保安全通訊和驗證伺服器身份,通常用戶端作業系統或者瀏覽器已預先安裝主流根憑證。
在服務端部署 SSL 憑證
前提條件
開始部署前,確保滿足以下條件:
認證狀態:已擁有由權威機構簽發的 SSL 憑證,且認證狀態為已簽發。如需購買和申請認證,請參見購買 SSL 憑證和申請免費 SSL 憑證。
網域名稱匹配:確保認證能夠匹配所有需保護的網域名稱。如需添加或修改網域名稱,可根據需求購買正式認證或追加和更換網域名稱。
精確網域名稱:僅對指定網域名稱生效。
example.com僅對example.com生效。www.example.com僅對www.example.com生效。
萬用字元網域名稱:僅對其一級子網域名稱生效。
*.example.com對www.example.com、a.example.com等一級子網域名稱生效。*.example.com對根網域名稱example.com和多級子網域名稱a.b.example.com不生效。
說明如需匹配多級子網域名稱,綁定網域名稱中需包含該網域名稱(如
a.b.example.com),或包含相應的萬用字元網域名稱(如*.b.example.com)。網域名稱解析:網域名稱已配置解析記錄並解析至伺服器的公網 IP。
確認認證部署位置
需要在處理 HTTPS 流量的所有網路節點上部署 SSL 憑證,包括 Web 服務器(如 Nginx、Apache、IIS)、應用型負載平衡(ALB)、內容分發網路(CDN)、Web Application Firewall(WAF)、雲原生 API Gateway等。在這些節點上部署認證,可提供從用戶端到服務端的全鏈路加密,防止中間環節出現明文傳輸。
根據流量路徑,認證部署分為以下兩種情境:
流量直接到達伺服器:當公網流量直接存取來源站點 Web 服務器時,流量不經過其他中間節點。
流量經過多個網路節點:當使用者通過網域名稱訪問網站時,流量通常會經過 CDN、ALB 等多個中間節點,然後才被轉寄到來源站點伺服器。
流量直接到達伺服器
當公網流量直接存取來源站點 Web 服務器時,SSL 憑證僅需部署在該 Web 服務器上。
流量經過多個網路節點
如果流量在到達目標伺服器前,需經過 CDN、WAF 等多個中間節點,則每個處理 HTTPS 流量的節點均需部署認證。
本文以"使用者 → CDN → WAF → 負載平衡器 (ALB) → 來源站點伺服器"架構為例說明多節點情境下的認證部署策略。實際部署時,請根據您的網路架構在相應節點部署認證。
在不同情境下,認證的部署節點及傳輸加密範圍如下:
情境 | 加密鏈路(HTTPS) | 明文鏈路(HTTP) | 需部署認證的節點 | 說明 |
情境一 | 使用者 ↔ CDN | CDN → WAF → ALB → 來源站點伺服器 | CDN | 僅加密用戶端到 CDN 的流量,成本最低,但內網存在明文傳輸風險。 |
情境二 | 使用者 ↔ WAF | WAF → ALB → 來源站點伺服器 | CDN、WAF | 加密範圍擴充至 WAF,提升了安全性。 |
情境三 | 使用者 ↔ ALB | ALB → 來源站點伺服器 | CDN、WAF、ALB | 僅來源站點伺服器前一跳為明文傳輸,安全性較高。 |
情境四 | 使用者 ↔ 來源站點伺服器 | 無 | CDN、WAF、ALB、來源站點伺服器 | 實現全鏈路加密,提供最進階別的安全保障。 |
選擇認證部署方案
認證部署過程中如有任何問題需要協助,請聯絡商務經理進行諮詢。
選擇 SSL 憑證部署方案前,需明確認證的部署目標(伺服器或雲產品),並按以下規則選擇:
部署至伺服器:適用於阿里雲 ECS、Simple Application Server、非阿里雲伺服器及自建伺服器。
部署至雲產品:適用於阿里雲的 SLB、CDN、WAF 等雲產品(不含 ECS 和Simple Application Server),以及騰訊雲、華為雲、AWS 等第三方雲平台的 CDN、WAF、CLB 等雲產品。
部署至伺服器
請根據實際情況選擇以下合適的方案,將認證部署至伺服器中。
阿里雲 ECS、Simple Application Server
請根據實際使用的 Web 應用程式伺服器以及作業系統選擇合適的認證部署教程。若需確認 Web 服務器類型,可參考如何查看 Web 服務器類型。
通過控制台自動部署
可將認證一鍵部署至指定的 ECS 可信執行個體,或將新認證自動更新至已配置認證的 ECS 或Simple Application Server,以提升部署效率並降低配置風險。具體操作請參見部署 SSL 憑證至 ECS/Simple Application Server。
登入伺服器部署
伺服器作業系統 | 部署教程 |
Linux 系統 | |
Windows 系統 | |
非阿里雲伺服器
請根據實際使用的 Web 應用程式伺服器以及作業系統選擇合適的認證部署教程。若需確認 Web 服務器類型,可參考如何查看 Web 服務器類型。
伺服器作業系統 | 部署教程 |
Linux 系統 | |
Windows 系統 | |
部署至雲產品
阿里雲
部署國際標準 SSL 憑證(RSA/ECC)
通過數位憑證管理服務控制台部署
在以下情境中,可使用數位憑證管理服務控制台提供的雲產品部署功能,將認證一鍵推送到相關產品中,無需手動上傳。具體操作請參見部署 SSL 憑證至 SLB/CDN/WAF 等雲產品。
說明若您使用的產品不在"雲產品部署"功能支援的範圍內,請參考該產品的文檔進行部署。支援一鍵推送的產品見下方表格。
以下表格中的"更新已有認證"表示雲產品已部署過認證,當前需要替換認證的情境。
雲產品
部署任務適用情境
認證配置情境
Container Service Kubernetes 版本 ACK
更新已有認證
ACK 託管與專有叢集中更新 AlbConfig 認證和 Secret 認證
重要請勿在Container Service ACK 中手動修改 Secret,系統會自動建立新的 Secret。
Serverless 應用引擎-網關路由
更新已有認證
網關路由轉寄協議配置 HTTPS 情境(ALB 和 CLB)
Function Compute FC
更新已有認證
HTTP 函數情境
微服務引擎-雲原生網關
更新已有認證
雲原生網關路由情境
雲原生 API Gateway
更新已有認證
HTTPS 網域名稱訪問 API 情境
Global Acceleration GA
更新已有認證
HTTPS 網域名稱安全加速訪問情境
應用型負載平衡 ALB
網路型負載平衡 NLB
更新已有認證
HTTPS 監聽來轉寄來自 HTTPS 協議的請求的情境(伺服器憑證)
說明部署用戶端認證,請參見部署用戶端認證。
內容分發網路 CDN
首次部署認證、更新已有認證
HTTPS 安全加速情境
全站加速 DCDN
首次部署認證、更新已有認證
HTTPS 安全加速情境
邊緣安全加速(ESA)
更新已有認證
HTTPS 安全加速情境
Object Storage Service
更新已有認證
HTTPS 的方式訪問 OSS 服務情境
說明綁定 CDN 加速網域名稱,需在 CDN 控制台替換認證。
Web Application Firewall(WAF)
更新已有認證
CNAME 接入情境
DDoS 高防
更新已有認證
DDoS 高防網域名稱接入情境
人工智慧平台 PAI
更新已有認證
模型線上服務 EAS(Elastic Algorithm Service):專屬網關使用自訂網域名
通過雲產品控制台部署
請在下表中找到對應的雲產品後,參考相關文檔一欄的文檔前往雲產品的控制台,根據指引完成後續的認證部署。
雲產品
認證配置情境
相關文檔
Container Service Kubernetes 版本 ACK
ACK 託管與專有叢集中更新 AlbConfig 認證和 Secret 認證
重要請勿在Container Service ACK 中手動修改 Secret,系統會自動建立新的 Secret。
Serverless 應用引擎-網關路由
網關路由轉寄協議配置 HTTPS 情境(ALB 和 CLB)
Function Compute FC
HTTP 函數情境
微服務引擎-雲原生網關
雲原生網關路由情境
雲原生 API Gateway
HTTPS 網域名稱訪問 API 情境
Global Acceleration GA
HTTPS 網域名稱安全加速訪問情境
應用型負載平衡 ALB
網路型負載平衡 NLB
HTTPS 監聽來轉寄來自 HTTPS 協議的請求的情境(伺服器憑證)
說明部署用戶端認證,請參見部署用戶端認證。
應用型負載均衡ALB:配置 HTTPS 監聽
網路型負載平衡NLB:NLB 添加 TCPSSL 監聽
內容分發網路 CDN
HTTPS 安全加速情境
全站加速 DCDN
HTTPS 安全加速情境
邊緣安全加速(ESA)
HTTPS 安全加速情境
Object Storage Service
HTTPS 的方式訪問 OSS 服務情境
說明綁定 CDN 加速網域名稱,需在 CDN 控制台替換認證。
Web Application Firewall(WAF)
CNAME 接入情境
WAF 3.0:添加網域名稱及配置 HTTPS 認證
WAF 2.0:添加網域名稱及配置 HTTPS 認證
DDoS 高防
DDoS 高防網域名稱接入情境
人工智慧平台 PAI
模型線上服務 EAS(Elastic Algorithm Service):專屬網關使用自訂網域名
騰訊雲、華為雲和 AWS
通過數位憑證管理服務控制台部署
使用阿里雲數位憑證管理服務控制台可將認證部署至第三方雲平台。操作步驟請參見部署認證至三方雲平台。支援的雲平台和服務如下:
騰訊雲:內容分發網路 CDN、Web Application Firewall、負載平衡 CLB
AWS:Amazon CloudFront(CDN)、負載平衡(ALB、NLB 和 CLB)
華為雲:內容分發網路 CDN、彈性負載平衡 ELB
參考雲廠商官網文檔部署
可參考以下雲廠商的官方文檔進行認證部署:
在用戶端安裝根憑證
對於 IoT 裝置、嵌入式系統、企業內部系統、離線 App、舊版本瀏覽器、Java 用戶端等業務情境,一般不會預埋 CA 根憑證。部署 SSL 憑證後,用戶端可能不信任該認證,需要手動下載根憑證並安裝至用戶端。具體操作可參考在用戶端安裝根憑證。
常見問題
FAQ 1:如何下載根憑證?
可參考下載和安裝根憑證,下載相關認證品牌的根憑證。
FAQ 2:憑證鏈結不完整、缺少中間認證時怎麼辦?
用戶端的根憑證和中間認證缺失或到期時,請參考如何解決網站SSL憑證鏈結不完整,下載安裝缺失的根憑證或中間認證後,重新嘗試訪問。
FAQ 3:部署認證時提示"憑證鏈結中的一個或多個中間認證丟失"?
部分服務端系統部署 SSL 憑證時(如 Windows 2008 R2 中的 IIS),可能會提示此錯誤。需在服務端安裝缺失的根憑證或中間認證。
FAQ 4:如何查看 Web 服務器類型?
使用瀏覽器開發人員工具查看
使用瀏覽器訪問您的網域名稱。
按 F12 開啟開發人員工具,查看伺服器類型。

使用命令方式查看
登入伺服器。
在伺服器上執行以下命令查看 Web 服務器類型:
curl -I https://yourdomain說明yourdomain是必選參數,需替換為實際的網站網域名稱,例如curl -I https://www.aliyundoc.com。參數-I(大寫 i)表示僅擷取回應標頭資訊。查詢結果樣本如下:
HTTP/1.1 200 OK Server: nginx/1.24.0 Date: Thu, 15 May 2026 10:00:00 GMT Content-Type: text/html其中
Server欄位的值即為 Web 服務器類型,樣本中為 Nginx。
諮詢網站搭建工程師
如果仍然查詢不到 Web 服務器類型,請諮詢網站搭建工程師。如果您遇到其他問題,請聯絡商務經理進行諮詢。