本文介绍如何根据业务需求选择合适的证书部署方案,为网站和应用启用 HTTPS 安全访问。
在服务端部署 SSL 证书(必需):若需要为网站、API 或应用启用 HTTPS,必须在服务端部署 SSL 证书。
在客户端安装根证书(通常无需干预):客户端需要预埋根证书以确保安全通信和验证服务器身份,通常客户端操作系统或者浏览器已经预埋根证书。仅当访问使用自签名证书的系统、客户端设备无法识别证书颁发机构、根证书缺失或已过期时,才需要在客户端安装根证书。
在服务端部署 SSL 证书
前提条件
已通过数字证书管理服务购买和申请证书。如需购买和申请证书,请参见购买正式证书和向CA(证书颁发机构)提交申请。
证书状态必须为已签发,且其绑定域名必须匹配所有需保护的域名。
确认证书部署位置
在处理HTTPS流量的过程中,确保在所有相关网络节点上全面部署SSL证书至关重要。这些节点包括但不限于Web服务器(如Nginx、Apache、IIS)、应用型负载均衡(ALB)、内容分发网络(CDN)、Web应用防火墙(WAF)、API网关等。在这些节点上部署SSL证书,可以提供从客户端到服务端的全链路加密,有效防止中间环节出现明文传输风险,确保端到端的安全通信。
流量直接到达服务器:当用户通过访问服务器的公网IP地址来访问网站内容时,流量直接到达服务器,而不经过其他中间节点。
流量经过多个网络节点:当用户通过域名访问网站内容时,流量通常会经过多个网络节点,例如内容分发网络(CDN)和应用型负载均衡(ALB),然后才被转发到真实的服务器上进行处理。
流量直接到达服务器
当公网流量直接访问源站 Web 服务器,且无其他中间网络代理时,SSL 证书仅需部署在该 Web 服务器上。
流量经过多个网络节点
若流量在到达目标服务器前,需经过 CDN、WAF 等多个中间节点,则每个处理 HTTPS 流量的节点均须部署证书。
本文以“用户 → CDN → WAF → 负载均衡器 (ALB) → 源站服务器”这一复杂架构为例进行说明。此架构仅用于展示多节点场景下的证书部署策略。实际部署时,请根据您的网络架构在相应节点部署证书。
在不同场景下,证书的部署节点及传输加密范围如下:
场景 | 加密链路(HTTPS) | 明文链路(HTTP) | 需部署证书的节点 | 说明 |
场景一 | 用户 ↔ CDN | CDN → WAF → ALB → 源站服务器 | CDN | 仅加密客户端到 CDN 的流量,成本最低,但内网存在明文传输风险。 |
场景二 | 用户 ↔ WAF | WAF → ALB → 源站服务器 | CDN、WAF | 加密范围扩展至 WAF,提升了安全性。 |
场景三 | 用户 ↔ ALB | ALB → 源站服务器 | CDN、WAF、ALB | 仅源站服务器前一跳为明文传输,安全性较高。 |
场景四 | 用户 ↔ 源站服务器 | 无 | CDN、WAF、ALB、源站服务器 | 实现全链路加密,提供最高级别的安全保障。 |
确认证书部署方案
证书部署过程中如有任何问题需要协助,请联系商务经理进行咨询。
在决定SSL证书的部署方案之前,首先您需要明确服务器或云产品的托管方式,并结合以下情况选择具体的部署方案:
部署证书至阿里云
请根据实际情况选择以下合适的方案,将证书部署至ECS、轻量应用服务器,或其他云产品。
ECS、轻量应用服务器
请根据实际使用的Web应用服务器以及操作系统选择合适的证书部署教程。
如果您不清楚您的Web服务器类型,请参考下方如何查看Web服务器类型?确定服务器类型。
服务器操作系统 | 证书部署教程 |
Linux 系统 | |
Windows 系统 | |
其它阿里云产品(非 ECS、轻量应用服务器)
部署国际标准证书
通过数字证书服务控制台部署
在以下场景中,可使用数字证书服务控制台提供的云产品部署功能,其支持一键推送证书到相关产品中,无需手动上传 SSL 证书。具体操作请参见部署证书至阿里云的云产品(不含ECS和轻量应用服务器)。
说明若您使用的产品不在“云产品部署”功能支持的范围内,请参考相关云产品的文档进行部署。
以下表格中的“更新已有证书”表示云产品已部署过证书,当前需要替换证书的场景。
云产品
部署任务适用场景
证书配置场景
容器服务Kuberbetes版本ACK
更新已有证书
ACK托管与专有集群:更新AlbConfig证书配置、更新Secret证书
重要部署至 Secret 时,请勿在容器服务ACK中手动修改。
Serverless应用引擎-网关路由
更新已有证书
网关路由转发协议配置HTTPS场景(ALB和CLB)
函数计算FC
更新已有证书
HTTP函数场景
微服务引擎-云原生网关
更新已有证书
云原生网关路由场景
API网关
更新已有证书
HTTPS域名访问API场景
全球加速GA
更新已有证书
HTTPS域名安全加速访问场景
应用型负载均衡ALB
网络型负载均衡NLB
更新已有证书
HTTPS监听来转发来自HTTPS协议的请求的场景(服务器证书)
说明部署客户端证书,请参见配置全链路HTTPS访问实现加密通信。
内容分发网络CDN
首次部署证书、更新已有证书
HTTPS安全加速场景
全站加速DCDN
首次部署证书、更新已有证书
HTTPS安全加速场景
边缘安全加速(ESA)
更新已有证书
HTTPS安全加速场景
对象存储OSS
更新已有证书
HTTPS的方式访问OSS服务场景
说明绑定CDN加速域名,需在CDN控制台替换证书。
Web应用防火墙(WAF)
更新已有证书
CNAME接入场景
DDoS高防
更新已有证书
DDoS高防域名接入场景
人工智能平台 PAI
更新已有证书
模型在线服务EAS(Elastic Algorithm Service):专属网关使用自定义域名
通过云产品控制台部署
请在下表中找到对应的云产品后,参考相关文档一栏的文档前往云产品的控制台,根据指引完成后续的证书部署。
云产品
证书配置场景
相关文档
容器服务Kuberbetes版本ACK
ACK托管与专有集群:更新AlbConfig证书配置、更新Secret证书
重要部署至 Secret 时,请勿在容器服务ACK中手动修改。
Serverless应用引擎-网关路由
网关路由转发协议配置HTTPS场景(ALB和CLB)
函数计算FC
HTTP函数场景
微服务引擎-云原生网关
云原生网关路由场景
API网关
HTTPS域名访问API场景
全球加速GA
HTTPS域名安全加速访问场景
应用型负载均衡ALB
网络型负载均衡NLB
HTTPS监听来转发来自HTTPS协议的请求的场景(服务器证书)
说明部署客户端证书,请参见配置全链路HTTPS访问实现加密通信。
应用型负载均衡ALB:添加HTTPS监听
网络型负载均衡NLB:NLB添加TCPSSL监听
内容分发网络CDN
HTTPS安全加速场景
全站加速DCDN
HTTPS安全加速场景
边缘安全加速(ESA)
HTTPS安全加速场景
对象存储OS
HTTPS的方式访问OSS服务场景
说明绑定CDN加速域名,需在CDN控制台替换证书。
Web应用防火墙(WAF)
CNAME接入场景
WAF 3.0:添加域名及配置HTTPS证书
WAF 2.0:添加域名及配置HTTPS证书
DDoS高防
DDoS高防域名接入场景
人工智能平台 PAI
模型在线服务EAS(Elastic Algorithm Service):专属网关使用自定义域名
部署证书至腾讯云、华为云和AWS
通过数字证书服务控制台部署
使用阿里云数字证书服务控制台可将证书部署至第三方云平台。操作步骤请参见部署证书至三方云平台。支持的云平台和服务如下:
腾讯云:内容分发网络CDN、Web应用防火墙、负载均衡CLB
AWS:Amazon CloudFront(CDN)、负载均衡(ALB、NLB和CLB)
华为云:内容分发网络CDN、弹性负载均衡ELB
参考云厂商官网文档部署
请参考相关云厂商的官方文档进行证书部署。
部署证书至其他厂商或自建服务器
请参考相关厂商官网文档或登录服务器部署。
在客户端安装根证书
对于loT设备、嵌入式系统、企业内部系统、离线App、旧版本浏览器、Java客户端等业务场景,一般不会预埋CA根证书,因此部署SSL证书后,可能会出现客户端不信任的情况,需要您手动下载根证书并将根证书安装至客户端。
在客户端安装根证书。
常见问题
如何下载根证书?
可前往下载根证书下载阿里云支持的根证书。
证书链不完整、缺少中间证书时怎么办?
客户端的根证书和中间证书缺失或过期时,请参照如何解决网站SSL证书链不完整,下载安装缺失的根证书或中间证书后,重新尝试访问。
部署证书时提示:“证书链中的一个或多个中间证书丢失”?
部分服务端系统部署 SSL 证书时,如:Windows 2008 R2 中的 IIS 部署SSL证书时,可能会提示此错误,此时需在服务端安装缺失的根证书或中间证书。
如何查看Web服务器类型?
使用浏览器开发者工具查看
使用浏览器访问您的域名。
按F12,打开开发者工具,按照下图指引查看服务器类型。
使用命令方式查看
登录您的服务器。
在您的服务器输入以下命令查看Web服务器类型。
curl -i yourdomain说明yourdomain是必选参数,需替换为您实际的网站域名,例如curl -i www.aliyundoc.com。查询结果示例如下图所示:
咨询网站搭建工程师
如果仍然查询不到Web服务器类型,请咨询您的网站搭建工程师。如果您遇到其他问题,请联系商务经理进行咨询。