如果您的轻量应用服务器已绑定了域名,可以为域名配置HTTPS加密访问,以较低的成本将数据传输协议从HTTP转换成HTTPS,实现网站的身份验证和数据加密传输,防止数据在传输过程中被篡改,信息泄露。本文以使用WordPress 5.8的轻量应用服务器为例,介绍在服务器中安装SSL证书,并开启HTTPS加密访问。

前提条件

背景信息

通过数字证书管理服务(Certificate Management Service)完成证书购买、申请,并将证书部署到您的Web服务器后,Web服务将会通过HTTPS加密协议来传输数据。HTTPS加密传输协议可激活客户端浏览器到网站服务器之间的SSL加密通道(SSL协议),从而实现高强度单向加密传输,防止传输数据被泄露或篡改。HTTPS加密传输为手机APP、小程序应用、代码程序、控件等上线应用市场或应用生态必备特征。HTTPS加密传输可为网站带来以下优势:
  • 安全合规:满足对应APP市场或应用生态的要求。
  • 加密传输网络数据:加密网站用户与网站间的数据通信,实现传输数据的防劫持、防篡改、防监听,保障数据传输安全。
  • 提升网站安全性:规避钓鱼事件发生。网站用户在访问网站时浏览器提示安全可信,可以提升网站的可信度、访问流量和搜索排名。

步骤一:购买SSL证书

购买证书

  1. 访问证书服务购买页
  2. 根据您的实际需求选择要购买的证书实例的规格。
    参数说明如下表所示。关于参数的详细说明,请参见购买SSL证书
    参数说明
    品牌选择您需要的证书品牌(即签发证书的CA中心)。本示例选择Digicert

    关于不同证书品牌的介绍,请参见SSL证书功能特性

    证书规格选择您需要的证书类型。本示例选择OV SSL

    关于不同证书类型的介绍,请参见什么是数字证书管理服务

    证书类型选择证书要绑定的网站域名的类型。本示例选择单域名
    域名数量默认选择1个。
    数量默认选择1个。
    服务年限选择证书服务的时长。本示例选择1年
  3. 单击立即购买,并完成支付。

提交证书申请

  1. 登录数字证书管理服务控制台
  2. SSL证书页面的证书管理页签,单击证书列表上方的证书状态下拉列表,选择待申请
    该操作将会筛选出所有已购买但是还未提交证书申请的证书实例。
  3. 定位到要操作的证书实例,单击操作列下的证书申请
  4. 证书申请面板,填写证书申请信息。
    申请不同类型证书需要填写的申请信息不同,请根据页面提示填写。

    如果您需要更详细的参数说明,请参见申请证书时需要提交的信息

  5. 提交证书申请到CA中心审核。
    填写完证书申请信息后,请根据您要申请的证书类型,执行对应的操作:
    • DV证书:单击下一步,根据页面提示完成域名所有权验证,然后单击提交审核

      关于域名所有权验证的更多介绍,请参见域名所有权验证

    • OV或EV证书:单击提交审核
    成功提交证书申请后,您将会收到以下提示。请按照提示要求,保持联系人电话畅通,并及时通过联系人邮箱查阅CA中心发送的验证邮件。提交审核提示
    成功提交证书申请后,如需修改申请信息,您可以撤回订单,修改信息后重新提交。
    说明 提交DV证书申请后,CA中心一般会在1~2个工作日内完成审核和签发。

步骤二:配置SSL证书

证书签发后,证书状态将变更为已签发,您需要下载和配置证书。关于证书下载和安装的更多信息,请参见SSL证书安装指南

  1. 下载证书。
    1. SSL证书页面证书管理页页签下,定位到要下载的证书,单击操作列下的下载
    2. 证书下载面板中,根据服务器类型,单击下载,下载证书文件。
      请根据WordPress服务器中默认已安装Nginx或Apache,选择下载对应的证书。本示例中WordPress 5.8默认已安装了Apache,故下载服务器类型为Apache的证书。
    3. 解压已下载的Apache服务器证书压缩包文件。
      解压之后会得到3个文件,本示例中域名以example.com为例,说明如下。
      • example.com.key:证书私钥文件名称。
      • example.com_chain.crt:证书链文件名称。
      • example.com_public.crt:证书公钥文件名称。
      addad
  2. 上传SSL证书。
    使用WinSCP等工具将解压的Apache证书、证书链文件和密钥文件上传到/data/cert目录中(没有cert目录可以自己新建)。
  3. 配置SSL证书。
    1. 远程连接轻量应用服务器。
      具体操作,请参见远程连接Linux服务器
    2. 运行以下命令,修改配置文件default.conf
      vim /etc/httpd/conf.d/vhost.conf
    3. i键,进入编辑模式。
    4. 在配置文件添加以下代码。
      使用示例代码前,请注意将修改代码中的配置项目:
      • ServerName:域名,例如:example.com。
      • DocumentRoot:应用目录,例如:/data/wwwroot/wordpress。
      • Directory:应用目录,例如:/data/wwwroot/wordpress。
      • SSLCertificateFile:证书公钥文件路径,例如:/data/cert/example.com_public.crt。
      • SSLCertificateKeyFile:证书私钥文件路径,例如:/data/cert/example.com.key。
      • SSLCertificateChainFile:证书链文件路径,例如:/data/cert/example.com_chain.crt。
      重要 证书文件路径需要配置正确,否则无法使用HTTPS访问。
      修改后的配置文件示例如下所示:
      #-----HTTPS template start------------
<VirtualHost *:443>
ServerName  example.com
DocumentRoot "/data/wwwroot/wordpress"
#ErrorLog "logs/example.com-error_log"
#CustomLog "logs/example.com-access_log" common
<Directory "/data/wwwroot/wordpress">
Options Indexes FollowSymlinks
AllowOverride All
Require all granted
</Directory>
SSLEngine on
SSLCertificateFile  /data/cert/example.com_public.crt
SSLCertificateKeyFile  /data/cert/example.com.key
SSLCertificateChainFile  /data/cert/example.com_chain.crt
</VirtualHost>
#-----HTTPS template end------------
    5. 修改完成后,按Esc键,输入:wq!并按Enter键,保存修改后的配置文件并退出编辑模式。
    6. 运行以下命令,重启服务。
      systemctl restart httpd
    7. 运行以下命令,重启数据库。
      service mysqld restart

步骤三:验证SSL证书是否安装成功

  1. 在WordPress后台管理页面配置HTTPS域名。
    1. 登录WordPress后台管理页面。
      后台管理页面地址、用户名、密码的获取方式具体操作,请参见步骤二:配置应用
    2. 在左侧导航栏中,选择设置 > 常规
    3. WordPress地址(URL)站点地址(URL)后,输入您已绑定并解析的域名,本文以https://example.com为例。adasd
    4. 单击保存更改
  2. 使用浏览器访问https://轻量应用服务器对应的域名
    • 如果浏览器地址栏中出现小锁标志,表示SSL证书已经安装成功。sda
    • 如果网站无法通过HTTPS正常访问,您可以通过以下方法排查。
      • 需确认您安装SSL证书的轻量应用服务器443端口是否已开启或被其他工具拦截。放行443端口的具体操作,请参见管理防火墙
      • 域名是否备案。如果域名解析至中国内地服务器的网站,需要确保域名已备案。更多信息,请参见什么是ICP备案
      • 证书路径配置是否正确。需确保证书上传的路径和配置的路径相同。具体操作,请参见配置SSL证书