SSL 憑證部署方案選型 - Certificate Management Service

本文介紹如何根據業務需求選擇合適的認證部署方案，為網站和應用啟用 HTTPS 安全訪問。

在服務端部署 SSL 憑證（必需）：若需要為網站、API 或應用啟用 HTTPS，必須在服務端部署 SSL 憑證。
在用戶端安裝根憑證（通常無需幹預）：用戶端需要預埋根憑證以確保安全通訊和驗證伺服器身份，通常用戶端作業系統或者瀏覽器已經預埋根憑證。僅當訪問使用自我簽署憑證的系統、用戶端裝置無法識別憑證授權單位、根憑證缺失或已到期時，才需要在用戶端安裝根憑證。

在服務端部署 SSL 憑證

前提條件

已通過數位憑證管理服務購買和申請認證。如需購買和申請認證，請參見購買正式認證和向CA（憑證授權單位）提交申請。
認證狀態必須為已簽發，且其綁定網域名稱必須匹配所有需保護的網域名稱。
如何確認認證狀態和網域名稱匹配情況
1. 登入數位憑證管理服務控制台。在左側導覽列選擇認證管理 > SSL認證管理。
2. 在SSL證書管理頁面，定位需部署的目標認證，並確認以下資訊：
  1. 認證狀態：確保其為已簽發。若為即將到期或已到期，則需續約SSL認證。
  2. 綁定網域名稱：確保其能夠匹配所有需保護的網域名稱，否則未匹配的網域名稱訪問 HTTPS 時將出現安全警告。如需添加或修改，請參見追加和更換網域名稱。
    確認認證是否匹配目標網域名稱
    認證的綁定網域名稱可包含多個精確網域名稱和萬用字元網域名稱。每類網域名稱的匹配規則如下：
    精確網域名稱：僅對指定網域名稱生效。
    example.com 僅對 example.com 生效。
    www.example.com 僅對 www.example.com 生效。
    萬用字元網域名稱：僅對其一級子網域名稱生效。
    *.example.com 對 www.example.com、a.example.com 等一級子網域名稱生效。
    *.example.com 對根網域名稱 example.com 和多級子網域名稱 a.b.example.com 不生效。
    說明
    如需匹配多級子網域名稱，綁定網域名稱中需包含該網域名稱（如 a.b.example.com），或包含相應的萬用字元網域名稱（如 *.b.example.com）。

確認認證部署位置

在處理HTTPS流量的過程中，確保在所有相關網路節點上全面部署SSL認證至關重要。這些節點包括但不限於Web伺服器（如Nginx、Apache、IIS）、應用型負載平衡（ALB）、內容分發網路（CDN）、Web Application Firewall（WAF）、API Gateway等。在這些節點上部署SSL認證，可以提供從用戶端到服務端的全鏈路加密，有效防止中間環節出現明文傳輸風險，確保端到端的安全通訊。

流量直接到達伺服器：當使用者通過訪問伺服器的公網IP地址來訪問網站內容時，流量直接到達伺服器，而不經過其他中間節點。
流量經過多個網路節點：當使用者通過網域名稱訪問網站內容時，流量通常會經過多個網路節點，例如內容分發網路（CDN）和應用型負載平衡（ALB），然後才被轉寄到真實的伺服器上進行處理。

流量直接到達伺服器

當公網流量直接存取來源站點 Web 服務器，且無其他中間網路代理程式時，SSL 憑證僅需部署在該 Web 服務器上。

流量經過多個網路節點

若流量在到達目標伺服器前，需經過 CDN、WAF 等多個中間節點，則每個處理 HTTPS 流量的節點均須部署認證。

重要

本文以“使用者 → CDN → WAF → 負載平衡器 (ALB) → 來源站點伺服器”這一複雜架構為例進行說明。此架構僅用於展示多節點情境下的認證部署策略。實際部署時，請根據您的網路架構在相應節點部署認證。

在不同情境下，認證的部署節點及傳輸加密範圍如下：

情境	加密鏈路（HTTPS）	明文鏈路（HTTP）	需部署認證的節點	說明
情境一	使用者 ↔ CDN	CDN → WAF → ALB → 來源站點伺服器	CDN	僅加密用戶端到 CDN 的流量，成本最低，但內網存在明文傳輸風險。
情境二	使用者 ↔ WAF	WAF → ALB → 來源站點伺服器	CDN、WAF	加密範圍擴充至 WAF，提升了安全性。
情境三	使用者 ↔ ALB	ALB → 來源站點伺服器	CDN、WAF、ALB	僅來源站點伺服器前一跳為明文傳輸，安全性較高。
情境四	使用者 ↔ 來源站點伺服器	無	CDN、WAF、ALB、來源站點伺服器	實現全鏈路加密，提供最進階別的安全保障。

確認認證部署方案

說明

認證部署過程中如有任何問題需要協助，請聯絡商務經理進行諮詢。

在決定SSL認證的部署方案之前，首先您需要明確伺服器或雲產品的託管方式，並結合以下情況選擇具體的部署方案：

部署認證至阿里雲

請根據實際情況選擇以下合適的方案，將認證部署至ECS、Simple Application Server，或其他雲產品。

ECS、Simple Application Server

請根據實際使用的Web應用伺服器以及作業系統選擇合適的認證部署教程。

重要

如果您不清楚您的Web伺服器類型，請參考下方如何查看Web伺服器類型？確定伺服器類型。

伺服器作業系統	認證部署教程
Linux 系統	在Nginx或Tengine伺服器安裝 SSL認證（Linux）
	在Tomcat伺服器安裝SSL認證（Linux）
	在Apache伺服器安裝SSL認證（Linux）
	在Jetty伺服器安裝SSL認證（Linux）
	在JBoss伺服器安裝SSL認證（Linux）
	在GlassFish伺服器安裝SSL認證（Linux）
	在Spring Boot應用安裝SSL認證（Linux）
	Python Flask應用程式安裝SSL認證（Linux）
Windows 系統	在IIS伺服器安裝SSL認證（Windows）
	在Nginx伺服器部署SSL認證（Windows）
	在Apache伺服器安裝SSL認證（Windows）
	在Tomcat伺服器安裝SSL認證（Windows）
	在WebLogic伺服器安裝SSL認證（Windows）

其它阿里雲產品（非 ECS、Simple Application Server）

部署國際標準認證

通過數位憑證服務控制台部署

在以下情境中，可使用數位憑證服務控制台提供的雲產品部署功能，其支援一鍵推送認證到相關產品中，無需手動上傳 SSL 憑證。具體操作請參見部署認證至阿里雲的雲產品（不含ECS和Simple Application Server）。

說明

若您使用的產品不在“雲產品部署”功能支援的範圍內，請參考相關雲產品的文檔進行部署。
以下表格中的“更新已有認證”表示雲產品已部署過認證，當前需要替換認證的情境。

雲產品	部署任務適用情境	認證配置情境
Container ServiceKuberbetes版本ACK	更新已有認證	ACK託管與專有叢集：更新AlbConfig認證配置、更新Secret認證重要部署至 Secret 時，請勿在Container ServiceACK中手動修改。
Serverless應用引擎-網關路由	更新已有認證	網關路由轉寄協議配置HTTPS情境（ALB和CLB）
Function ComputeFC	更新已有認證	HTTP函數情境
微服務引擎-雲原生網關	更新已有認證	雲原生網關路由情境
API Gateway	更新已有認證	HTTPS網域名稱訪問API情境
Global AccelerationGA	更新已有認證	HTTPS網域名稱安全加速訪問情境
應用型負載平衡ALB 網路型負載平衡NLB	更新已有認證	HTTPS監聽來轉寄來自HTTPS協議的請求的情境（伺服器憑證）說明部署用戶端認證，請參見配置全鏈路HTTPS訪問實現加密通訊。
應用型負載平衡ALB 網路型負載平衡NLB	更新已有認證
內容分發網路CDN	首次部署認證、更新已有認證	HTTPS安全加速情境
全站加速DCDN	首次部署認證、更新已有認證	HTTPS安全加速情境
邊緣安全加速（ESA）	更新已有認證	HTTPS安全加速情境
Object Storage Service	更新已有認證	HTTPS的方式訪問OSS服務情境說明綁定CDN加速網域名稱，需在CDN控制台替換認證。
Web Application Firewall（WAF）	更新已有認證	CNAME接入情境
DDoS高防	更新已有認證	DDoS高防網域名稱接入情境
人工智慧平台 PAI	更新已有認證	模型線上服務EAS（Elastic Algorithm Service）：專屬網關使用自訂網域名

通過雲產品控制台部署

請在下表中找到對應的雲產品後，參考相關文檔一欄的文檔前往雲產品的控制台，根據指引完成後續的認證部署。

雲產品	認證配置情境	相關文檔
Container ServiceKuberbetes版本ACK	ACK託管與專有叢集：更新AlbConfig認證配置、更新Secret認證重要部署至 Secret 時，請勿在Container ServiceACK中手動修改。	Nginx Ingress ALB Ingress-配置HTTPS認證以實現加密通訊 MSE Ingress-配置HTTPS認證
Serverless應用引擎-網關路由	網關路由轉寄協議配置HTTPS情境（ALB和CLB）	為應用配置網關路由（ALB）為應用配置網關路由（CLB）
Function ComputeFC	HTTP函數情境	配置自訂網域名
微服務引擎-雲原生網關	雲原生網關路由情境	建立網域名稱
API Gateway	HTTPS網域名稱訪問API情境	使用HTTPS的網域名稱訪問API
Global AccelerationGA	HTTPS網域名稱安全加速訪問情境	HTTPS安全加速訪問HTTP網站單個Global Acceleration執行個體加速訪問多個HTTPS網域名稱
應用型負載平衡ALB 網路型負載平衡NLB	HTTPS監聽來轉寄來自HTTPS協議的請求的情境（伺服器憑證）說明部署用戶端認證，請參見配置全鏈路HTTPS訪問實現加密通訊。	應用型負載均衡ALB：添加HTTPS監聽網路型負載平衡NLB：NLB添加TCPSSL監聽
應用型負載平衡ALB 網路型負載平衡NLB		應用型負載均衡ALB：添加HTTPS監聽網路型負載平衡NLB：NLB添加TCPSSL監聽
內容分發網路CDN	HTTPS安全加速情境	配置HTTPS認證
全站加速DCDN	HTTPS安全加速情境	配置HTTPS認證
邊緣安全加速（ESA）	HTTPS安全加速情境	配置邊緣認證
Object Storage ServiceOS	HTTPS的方式訪問OSS服務情境說明綁定CDN加速網域名稱，需在CDN控制台替換認證。	通過HTTPS協議訪問OSS
Web Application Firewall（WAF）	CNAME接入情境	WAF 3.0：添加網域名稱及配置HTTPS認證 WAF 2.0：添加網域名稱及配置HTTPS認證
DDoS高防	DDoS高防網域名稱接入情境	更換伺服器HTTPS認證
人工智慧平台 PAI	模型線上服務EAS（Elastic Algorithm Service）：專屬網關使用自訂網域名	專屬網關使用自訂網域名

部署認證至騰訊雲、華為雲和AWS

通過數位憑證服務控制台部署
使用阿里雲數位憑證服務控制台可將認證部署至第三方雲平台。操作步驟請參見部署認證至三方雲平台。支援的雲平台和服務如下：
- 騰訊云：內容分發網路CDN、Web Application Firewall、負載平衡CLB
- AWS：Amazon CloudFront（CDN）、負載平衡（ALB、NLB和CLB）
- 華為云：內容分發網路CDN、彈性負載平衡ELB
參考雲廠商官網文檔部署
請參考相關雲廠商的官方文檔進行認證部署。