由于SSL证书的有效期为一年,手动申请并部署至云产品耗时且易出错。为此,阿里云提供云产品自动化证书部署解决方案,结合免域名所有权验证、自动化部署任务和托管服务,帮助您高效、安全地管理证书。本文为您介绍云产品自动化证书部署解决方案及部署案例。
方案概述
云产品自动化证书部署需要结合托管服务、免域名所有权验证和云产品一键部署功能实现,各功能详细说明如下:
功能 | 作用阶段 |
托管服务 |
说明 如何开启托管服务,请参见开启证书托管。 |
域名免验证授权 |
说明 如何实现域名免验证授权,请参见添加并授权免DNS验证的域名或域名所有权验证。 |
云产品一键部署 |
说明 支持的云产品列表及相关说明,请参见通过控制台部署证书至阿里云云产品(云产品部署)。 |
自动化证书部署案例
云产品部署任务依托于托管服务,部署任务在开通托管服务时创建。在新证书完成签发后,激活该部署任务,通过部署任务自动将证书部署至相应的云产品。
下表为您说明托管服务开启方式。本文案例将以新购正式证书时开启托管服务为例,介绍如何实现云产品证书自动化部署。
证书 | 托管服务开启阶段 |
正式证书 |
|
个人测试证书 |
|
上传证书 | 续费证书时开启 |
步骤一:开启托管服务
访问数字证书管理服务SSL证书管理页面,单击购买证书,付费类型选择输入域名购买,证书服务时长选择3年。
3年期证书,包含3张1年有效期的SSL证书和2次托管服务。更多说明,请参见购买多年期SSL证书。
购买完成后,可在证书列表查看已被托管的证书。
其中包含一张待申请证书(被托管的证书)和两张未激活证书,且系统已为未激活的证书创建部署任务。
步骤二:开启域名免验证
找到购买的证书,在操作列,单击证书申请。
在证书申请面板,域名验证方式选择自动DNS验证或手动DNS验证。
如果您域名的DNS解析服务在当前账号,域名验证方式默认为自动DNS验证,您无需额外操作,默认开启域名免验证。
如果您域名的DNS解析服务不在当前账号,域名验证方式需选择手动DNS验证。在提交审核后,您需要前往域名所在的DNS解析服务商,手动添加一条CNAME类型的解析记录,如下图所示,添加后即可开启域名免验证。
证书签发后,证书列表如下图所示,证书显示已托管。
步骤三:通过部署任务部署证书至云产品
被托管的证书首次成功部署至相应的云产品后,后续新签发的证书才会继承该证书部署的云产品资源列表,从而实现证书自动化部署。
找到已被托管的证书,在操作列,单击部署。
在创建任务页面,选择对应的云产品及资源,单击预览并提交。
在任务预览面板,确认部署的证书实例和云产品资源信息,如无问题,单击提交。