文档

部署SSL证书到阿里云产品

更新时间:

SSL证书签发完成后,您可以通过数字证书管理服务将SSL证书部署到阿里云产品,为您的业务网站提供可信身份认证和安全数据传输。本文介绍如何通过数字证书管理服务控制台部署SSL证书到阿里云产品。

背景信息

您可以将已签发的阿里云SSL证书(包括免费SSL证书、已上传的SSL证书和付费SSL证书)通过数字管理服务控制台部署到支持的阿里云产品,实现证书在阿里云产品上的快捷应用。

支持在数字证书管服务控制台部署的阿里云产品

支持在数字证书管理服务控制台部署SSL证书的阿里云产品为Web应用防火墙(WAF)云服务器ECS负载均衡SLB内容分发网络CDN对象存储OSS全站加速DCDN视频直播DDoS高防API网关视频点播函数计算FC全球加速GA安全加速SCDN云原生网关容器镜像服务ACR云虚拟主机Serverless应用引擎SAE轻量应用服务器具体部署操作,请参见部署证书到云服务器ECS或轻量应用服务器部署证书到其他支持的阿里云产品

说明

部署上传的阿里云证书,您需要付费(30元/次)。具体计费信息,请参见计费概述

部署SSL证书时,如遇到问题,请联系产品技术专家进行咨询,详情请参见专家一对一服务

不支持在数字证书管理服务控制台部署的阿里云产品

  • 如果您的阿里云产品不在数字管理服务控制台支持部署的范围内或需要部署国密证书,请您联系阿里云产品对应的商务经理咨询或参考对应的阿里云产品帮助文档部署。

    以下为您列举部分云产品部署SSL证书的操作指导,供您参考。

    说明

    目前,支持国密证书部署的阿里云产品为CDNDCDNDDoS 防护

    云产品

    相关文档

    云·速成美站

    网站HTTPS

    云·企业官网

    网站HTTPS

    CDN(国密证书)

    调用SetCdnDomainSMCertificate接口设置国密证书

    全站加速 DCDN(国密证书)

    配置国密HTTPS

    DDoS 防护(国密证书)

    上传HTTPS证书

前提条件

  • 已完成SSL证书签发。

    • 您可以通过阿里云数字证书管理服务控制台购买并申请SSL证书。具体操作,请参见购买SSL证书申请SSL证书

    • 您可以通过第三方平台或其他阿里云账号获取签发后SSL证书,并上传SSL到阿里云数字证书管理服务控制台。上传SSL证书的具体操作,请参见上传和共享SSL证书

  • 已开通需要部署SSL证书的阿里云产品。

    • 首次部署SSL证书到云服务器 ECS(Elastic Compute Service)中的Web应用服务器(例如Nginx、Apache)时,您需要在ECS完成云助手客户端安装,并且云助手客户端不低于1.0.2.569(Linux)或1.0.0.149(Windows)。

    • 首次部署SSL证书到其他阿里云产品(除ECS)时,您需要在对应的云产品控制台完成HTTPS等SSL证书相关配置,如遇到问题,请咨询对应云产品的商务经理或使用专家一对一服务

      查看云产品配置SSL证书的相关文档

      云产品

      相关文档

      Web应用防火墙(WAF)

      负载均衡SLB

      说明
      • 如果负载均衡中配置了HTTPS双向认证的监听,您只能通过数字证书管理服务控制台部署服务端证书,对于客户端证书您需要在负载均衡控制台完成部署。部署客户端证书的具体操作,请参见使用CLB部署HTTPS业务(双向认证)

      • 如果负载均衡中已经部署过证书,则只有当待部署证书的绑定域名等于或包含已部署证书的绑定域名时,才支持通过SSL证书服务部署证书到负载均衡(替换已部署证书)。

        例如,您已经在负载均衡上部署了一个单域名证书(绑定域名为example.com),则只有当待部署证书的绑定域名等于或包含example.com时(例如,待部署证书的绑定域名为example.comwww.example.com*.example.com),才可以通过控制台部署证书到负载均衡,以替换原有证书。

      内容分发网络(CDN)

      添加加速域名

      对象存储OSS

      证书托管

      视频直播

      域名管理

      DDoS高防

      添加网站配置

      API网关

      API安全

      视频点播

      HTTPS安全加速

      函数计算

      配置自定义域名

      全球加速

      HTTPS安全加速访问HTTP网站

      说明

      如果全球加速已经部署过证书,则只有当待部署证书的绑定域名等于或包含已部署证书的绑定域名时,才支持通过SSL证书服务部署证书到全球加速(替换已部署证书)。例如,您已经在全球加速上部署了一个单域名证书(绑定域名为example.com),则只有当待部署证书的绑定域名等于或包含example.com时(例如,待部署证书的绑定域名为example.comwww.example.com*.example.com),才可以通过控制台部署证书到全球加速,以替换原有证书。

      安全加速

      云原生网关

      关联域名

      容器镜像服务

      通过自定义域名访问容器镜像服务企业版实例

      云虚拟主机

      开启HTTPS加密访问

      Serverless应用引擎

部署证书到云服务器ECS或轻量应用服务器

部署证书到云服务器ECS或轻量应用服务器,即将证书部署到云服务器ECS或轻量应用服务器上的Web应用服务器(例如Nginx、Tomcat等)。建议您在首次部署证书参考安装证书到Web应用服务器文档。当您更新证书时,您可以通过数字证书管理服务控制台快捷部署。

本文以云服务器 ECS轻量应用服务器的Linux系统镜像、Nginx 1.20.1为例,为您介绍通过数字证书管理服务控制台部署证书流程。

重要

由于操作系统、Web应用服务器以及版本差异,您在操作过程中使用的命令可能会有区别。如有问题,请联系产品技术专家进行咨询,详情请参见专家一对一服务

  1. 首次部署SSL证书时,您需要登录云服务器ECS或轻量应用服务器,并执行以下命令,在Nginx安装目录下创建一个用于存放证书的目录。

    cd /etc/nginx/conf.d #使用yum安装Nginx的默认安装目录。如果您是通过其他方式安装Nginx或修改过默认安装目录,请根据实际配置调整。
    mkdir cert #创建证书目录,命名为cert。
    重要

    在数字证书管理服务控制台部署SSL证书时,您需填写证书相关文件的路径,请您记录好存放证书文件的路径。

  2. 登录数字证书管理服务控制台

  3. 在左侧导航栏,单击SSL 证书

  4. 证书管理页签,选择已签发的证书,定位到要部署的SSL证书,在操作列,单击部署

    不同类型证书的部署操作相同,本文以部署付费版SSL证书为例进行介绍。

    image..png

    首次部署SSL证书时,会提示您无权进行部署操作,请您单击确定,在RAM控制台授权数字证书管理服务访问您的云产品。

  5. 可选:如果数字证书管理服务控制台提示您私钥不存在,您需要执行以下步骤上传私钥。

    image.png

    说明

    证书私钥不存在可能是因为您在申请对应证书时,选择的已有CSR未上传私钥或手动填写的CSR是使用第三方工具生成的(数字证书管理服务未匹配到该CSR对应的私钥)。您需要先上传证书私钥,才能部署对应证书到阿里云产品。

    1. SSL 证书页面,定位到您需要部署的证书,在操作列,选择更多 > 上传私钥

    2. 上传私钥对话框,填写证书私钥内容,单击确定

      您可以使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传并选择存储在本地计算机的证书私钥文件,将文件内容上传到文本框。

  6. 资源列表区域,选择云服务器ECS轻量应用服务器及所在地域,并在目标实例操作列,单击部署

    数字证书管理服务控制台不支持批量在多台云服务器上部署证书。

    重要

    部署SSL证书时,数字证书管理服务会自动识别并拉取符合条件的云产品中的资源,资源加载大约5~20分钟,请您耐心等待。

    • 如果您的域名列表在资源加载一段时间后仍然为空,请您确认是否在对应云产品中配置了当前SSL证书包含的网站域名,并且该域名是否满足所选择的地域和部署状态。

    • 由于受到不同云产品版本、网络环境、缓存时延、证书匹配规则等因素的影响,数字证书管理服务控制台拉取的资源可能和对应云产品实际资源有所差异,请以对应云产品资源显示为准。如果遇到资源展示不全的情况,请您前往相应的云产品控制台部署证书。

    如有任何疑问,请联系产品技术专家进行咨询,详情请参见专家一对一服务

    image..png

  7. 路径编辑对话框,配置相关参数,单击确定

    您在配置时,需要将下表中的配置示例替换成证书实际所在路径。部署成功后,对应域名的部署状态变更为重新部署

    重要

    在数字证书管理服务控制台重新部署证书时,需确保证书名称、私钥名称、证书链名称,与nginx.conf配置文件一致,否则会部署失败。

    配置项

    描述

    配置示例

    证书路径

    设置证书文件存放在服务器中的绝对路径。

    /etc/nginx/conf.d/cert/cert.pem

    私钥路径

    设置证书私钥文件存放在服务器中的绝对路径。

    /etc/nginx/conf.d/cert/cert.key

    证书链路径

    设置证书链文件存放在服务器中的绝对路径。

    /etc/nginx/conf.d/cert/chain.crt

    重启命令

    设置重启或重新加载服务器中配置证书的Web应用的命令。配置重启命令后,数字证书管理服务会帮您将证书直接部署到Web应用服务器上,并可以自动执行您配置的重启命令重启Web应用服务器,无需您手动下载并上传证书。如果未配置重启命令,部署完成后您需要手动重启对应的Web应用服务器。

    nginx -s reload

    重要

    如果您是通过编译安装的Nginx,使用nginx -s reload命令前,您需要将Nginx设置为系统服务。

  8. 首次部署SSL证书时,您需要编辑Nginx配置文件nginx.conf,修改证书相关配置。

    1. 执行以下命令,打开配置文件。

      vim /etc/nginx/nginx.conf
    2. 在nginx.conf中定位到server属性配置。

      image.png

    3. 删除行首注释符号#,并参考以下配置示例进行修改。

      server {
              #HTTPS的默认访问端口443
              #如果未在此处配置HTTPS的默认访问端口,可能会造成Nginx无法启动。
              listen 443 ssl;
              #填写证书绑定的域名
              server_name <yourdomain>;		
              
              #填写证书文件绝对路径
              ssl_certificate      "/etc/nginx/conf.d/cert/cert.pem";
              #填写证书私钥文件绝对路径 
              ssl_certificate_key  "/etc/nginx/conf.d/cert/cert.key";
       
              ssl_session_cache    shared:SSL:1m;
              ssl_session_timeout  5m;
      		
              #默认加密套件
              ssl_ciphers  HIGH:!aNULL:!MD5;
      		
              #自定义设置使用的TLS协议的类型以及加密套件(以下为配置示例,请您自行评估是否需要配置)
              #TLS协议版本越高,HTTPS通信的安全性越高,但是相较于低版本TLS协议,高版本TLS协议对浏览器的兼容性较差。
              #ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
              #ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
      		
              #表示优先使用服务端加密套件。默认开启
              ssl_prefer_server_ciphers  on;
       
              location / {
                  root   html;
                  index  index.html index.htm;
              }
          }
      }
  9. 执行以下命令,重新加载Nginx配置文件。

    nginx -s reload

    证书安装完成后,您可通过访问证书的绑定域名验证该证书是否安装成功。

    https://yourdomain   #需要将yourdomain替换成证书绑定的域名。

    如果网页地址栏出现小锁标志,表示证书已经安装成功。

    image..png

部署证书到其他支持的阿里云产品

  1. 登录数字证书管理服务控制台

  2. 在左侧导航栏,单击SSL 证书

  3. 证书管理页签,选择已签发的证书,定位到要部署的SSL证书,在操作列,单击部署

    不同类型证书的部署操作相同,本文以部署付费版SSL证书为例进行介绍。

    image..png

    首次部署SSL证书时,会提示您无权进行部署操作,请您单击确定,在RAM控制台授权数字证书管理服务访问您的云产品。

  4. 可选:如果数字证书管理服务控制台提示您私钥不存在,您需要执行以下步骤上传私钥。

    image.png

    说明

    证书私钥不存在可能是因为您在申请对应证书时,选择的已有CSR未上传私钥或手动填写的CSR是使用第三方工具生成的(数字证书管理服务未匹配到该CSR对应的私钥)。您需要先上传证书私钥,才能部署对应证书到阿里云产品。

    1. SSL 证书页面,定位到您需要部署的证书,在操作列,选择更多 > 上传私钥

    2. 上传私钥对话框,填写证书私钥内容,单击确定

      您可以使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传并选择存储在本地计算机的证书私钥文件,将文件内容上传到文本框。

  5. 资源列表区域,选择您的阿里云产品及所在地域,并在目标实例操作列,单击部署

    重要

    部署SSL证书时,数字证书管理服务会自动识别并拉取符合条件的云产品中的资源,资源加载大约5~20分钟,请您耐心等待。

    • 如果您的域名列表在资源加载一段时间后仍然为空,请您确认是否在对应云产品中配置了当前SSL证书包含的网站域名,并且该域名是否满足所选择的地域和部署状态。

    • 由于受到不同云产品版本、网络环境、缓存时延、证书匹配规则等因素的影响,数字证书管理服务控制台拉取的资源可能和对应云产品实际资源有所差异,请以对应云产品资源显示为准。如果遇到资源展示不全的情况,请您前往相应的云产品控制台部署证书。

    如有任何疑问,请联系产品技术专家进行咨询,详情请参见专家一对一服务

    数字证书管理服务支持一次性部署多个域名和跨产品批量部署证书,您可以选择多个域名或多个产品,在右侧待部署列表面板,单击全部部署

    部署成功后,您可以返回证书管理页签,在该证书已部署列,查看已部署该证书的阿里云产品。

    说明

    部署完成后,可能会因为网络原因导致SSL证书延迟生效,请您耐心等待。如仍有问题,请联系产品技术专家进行咨询,详情请参见专家一对一服务

到期自动部署

如果您为已在数字管理服务控制台部署的证书开启了托管服务,建议您也为该证书开启到期自动部署。同时开启托管和到期自动部署后,数字证书管理服务会在该证书到期前30天或15天内自动提交证书申请,待新证书签发后自动将新证书部署到对应的阿里云产品中。具体操作,请参见开启到期自动部署

如果您没有为证书开启托管服务,则必须在证书到期前通过续费购买手动更新证书,并手动将更新后的证书重新部署到对应的阿里云产品,才能继续使用证书。具体操作,请参见SSL证书续费

  • 本页导读 (1)
文档反馈