文档

免安装SSL证书实现HTTPS

更新时间:

如果您不了解如何在Web服务器安装证书,希望通过简单的操作为网站实现HTTPS通信,推荐您使用网站代理HTTPS。网站代理HTTPS支持免安装SSL证书实现网站HTTPS,方便您快速和便捷地应用SSL证书。

重要

数字证书管理服务已不支持新购、续费和升级网站代理HTTPS实例,您只能使用已购买的网站代理HTTPS实例。

使用限制

本方案适合帮助轻量级网站业务快速实现HTTPS通信,使用本方案的网站需要同时满足以下条件:

  • 网站服务器通过HTTP 80端口、HTTPS 443端口提供Web服务。

  • 网站的日常QPS不超过100。

  • 网站域名已完成ICP备案。

  • 您拥有修改网站域名DNS解析设置的权限。

  • 网站未应用基于代理的安全防护、网站加速服务(例如,DDoS高防、Web应用防火墙、CDN等)。

步骤一:为网站代理HTTPS实例申请证书

  1. 登录数字证书管理服务控制台

  2. 在左侧导航栏,单击网站代理HTTPS

  3. 单击目标网站代理HTTPS实例操作列的添加域名

    网站代理HTTPS实例只有在未过期并且未申请退款的状态下,才能进行添加域名操作。否则操作列不会显示添加域名入口。

  4. 添加域名面板,完成参数配置并单击下一步

    参数

    说明

    证书绑定域名

    填写您的网站域名。本文以install-free.aliyundoc.com为例。

    域名验证方式

    根据您填写的证书绑定域名,自动匹配对应的验证方式,无需手动设置。如果您填写的是通过阿里云注册的域名,自动匹配自动DNS验证;如果您填写的是通过第三方平台注册的域名,自动匹配手工DNS验证

    联系人

    设置联系人信息,便于在证书申请过程中遇到问题时与您取得联系。

    所在地

    选择申请人所在城市或地区。

    密钥算法

    选择RSA

    CSR生成方式

    选择系统生成

  5. 完成域名所有权(DNS)验证。

    域名所有权验证表示验证上一步添加的域名属于证书申请提交人。根据您添加的域名的具体情况,进行以下操作:

    • 如果您当前的阿里云账号与域名的DNS云解析服务所在账号一致,申请DV证书时,阿里云数字证书管理服务将会自动识别,并默认选择自动DNS验证方式,且不支持修改,提交审核后,系统会自动进行DNS验证,请您耐心等待。

    • 域名是通过第三方平台注册时,则需要按照页面提示,前往域名对应的解析服务系统,修改域名解析设置(添加一条TXT类型的解析记录)。修改解析设置后,返回添加域名页面,单击验证

    提交审核后,网站代理HTTPS实例的证书状态将变更为准备中。耐心等待几分钟,证书状态将变更为正常,表示SSL证书已经成功签发。

步骤二:设置源站IP地址

  1. 登录数字证书管理服务控制台

  2. 在左侧导航栏,单击网站代理HTTPS

  3. 单击目标网站代理HTTPS实例操作列下的添加域名

  4. 添加域名面板,参考以下说明完成回源配置,并单击确认

    配置项

    说明

    源站地址

    选择IPv4并填写源站服务器的公网IP地址。最多支持填写3个IP地址,多个IP地址间使用半角逗号(,)分隔。

    重要

    请勿填写私网IP地址,否则会报错。

    强制HTTPS访问

    表示使客户端浏览器的所有HTTP请求都跳转成HTTPS请求。建议保持开启,无需修改。

    TLS/SSL卸载

    表示让阿里云SSL证书服务器使用HTTP协议与您的源站服务器通信,减轻源站的负载压力。建议保持开启,无需修改。

    完成回源配置后,网站代理HTTPS实例的CNAME列下会生成一个CNAME值,且接入状态会变更为异常

  5. 可选:单击目标实例操作列下的状态检测,查看网站接入状态。

    返回结果如下图所示,表示您需要前往域名的解析服务系统,按照状态检测中的提示,添加指定的CNAME解析记录。网站代理HTTPS-状态检测

步骤三:修改域名解析设置

以下操作以通过阿里云注册的域名为例。如果您的域名是通过第三方平台注册的,请前往域名对应的解析服务系统,修改域名解析设置。

  1. 登录云解析DNS控制台

  2. 域名解析页面,定位到您的域名,单击操作列的解析设置

  3. 解析设置列表,通过主机记录(本文以install-free为例)定位到要操作的解析记录,执行以下操作:

    1. TXT类型的解析记录删除。

      该解析记录是步骤一:为网站代理HTTPS实例申请证书中为完成域名所有权验证自动生成的记录值,此时证书已经签发,该解析记录已无效。

    2. 单击A类型解析记录操作列的修改

      如果当前主机记录没有对应的A类型解析记录,您可以单击列表上方的添加记录

    云解析

  4. 修改记录(或者添加记录)面板,按照步骤二:设置源站IP地址状态检测的提示,设置CNAME类型解析记录,并单击确认

    解析记录设置完成后,您可以在解析设置列表中查看CNAME解析记录的状态。此时,CNAME解析记录的状态正常,表示该解析记录已生效。

步骤四:验证HTTPS访问

完成解析设置后,回到网站代理HTTPS页面,刷新页面并查看域名的接入状态。域名的接入状态将变更为正常

重要

如果您的源站服务器上安装了安全软件,您必须在源站安全软件上放行网站代理HTTPS的回源IP地址,否则网站代理HTTPS的回源流量可能会被源站安全软件拦截,导致网站响应异常。更多信息,请参见放行回源IP地址段

这时,您可以使用浏览器访问已添加的域名,验证是否已成功实现HTTPS。返回结果如下。连接安全浏览器的地址栏出现了锁状图标图标,表示客户端与服务端已成功建立HTTPS安全连接。单击锁状图标图标,可以查看到证书的状态为有效

  • 本页导读 (1)
文档反馈