通过数字证书管理服务购买并签发SSL证书后,您需要将已签发的SSL证书安装至服务器,才能使SSL证书生效。本文介绍如何下载及安装SSL证书。
SSL证书安装场景
| 场景 | 说明 |
|---|---|
| 在服务器安装SSL证书 | 表示在提供Web服务的服务器上配置下载后的SSL证书,并开启HTTPS监听,实现客户端与服务器之间的HTTPS通信。具体操作,请参见下载SSL证书到本地和在服务器安装SSL证书
说明 如果您的SSL证书的安装环境复杂,需要一对一远程技术指导或现场部署,您可以购买证书部署服务。具体操作,请参见
证书申请协助和部署服务。
|
| 在阿里云产品安装SSL证书 | 表示通过数字证书管理服务控制台,将SSL证书快速应用到阿里云产品的指定资源上,简化SSL证书配置操作。具体操作,请参见在阿里云产品安装SSL证书。 |
下载SSL证书到本地
不同类型的服务器支持配置的SSL证书格式不同。为了便于您安装SSL证书,数字证书管理服务提供了适用于各种服务器(例如,Nginx、Spring Boot、Apache Tomcat、Apache(httpd)、Internet Information Services)的SSL证书压缩包,供您直接下载使用(无需手动转换SSL证书格式)。
如果您已经通过
数字证书管理服务购买并签发了SSL证书,可以执行以下步骤,将已签发的阿里云SSL证书下载到本地。
重要 为了保证数据安全性,您上传到
数字证书管理服务进行统一管理的第三方证书不支持下载。
- 登录数字证书管理服务控制台。
- 在左侧导航栏,单击SSL证书。
- 通过单击对应页签,选择要操作的SSL证书类型:
- 证书管理页签:表示操作付费版SSL证书。
- 免费证书页签:表示操作免费版SSL证书。
不同类型SSL证书的下载操作相同,下文操作描述以下载付费版SSL证书为例。
- 在SSL证书列表,定位到要下载的SSL证书,单击操作列下载。
说明 只有状态为 已签发、 即将过期、 已过期的SSL证书支持 下载操作,否则SSL证书 操作列下不会显示 下载按钮。
- 在证书下载面板,定位到目标服务器,单击操作列的下载。
数字证书管理服务已经将您的SSL证书自动转换成适用于不同服务器的格式并压缩。完成下载后,您可以解压对应SSL证书的压缩包获得对应的SSL证书文件,解压后的非国密算法证书文件说明如下表所示。说明国密算法证书安装通常是PEM格式,下载后通常包含四个文件:
- 签名证书:server_sign.pem和server_sign.key。
- 加密证书:server_enc.pem和server_enc.key。
如果下载后没有适合您服务器的证书格式,您可以通过OpenSSL工具转换证书格式,具体操作,请参见如何转换证书格式?。
对于通过客户端浏览器访问的服务器,无需关注根证书,因为根证书已经内置在客户端浏览器。如果您需要下载根证书和中间证书,具体操作,请参见下载根证书和中间证书。
服务器类型 证书文件说明 Tomcat 通常安装PFX、JKS格式的证书文件,JKS文件请在JSK服务器列下载。PFX文件说明如下: - domain name.pfx:证书文件,格式为PFX。
- pfx-password.txt:证书保护密码。
说明 如果您在提交证书申请时,未将 CSR生成方式设置为 系统生成,则您下载的证书压缩包中不包含TXT密码文件。Apache 通常安装CRT格式的证书文件。文件说明如下: - domain name_public.crt:证书文件。
- domain name_chain.crt:证书链文件。
- domain name.key:证书私钥文件。
Nginx 通常安装PEM格式的证书文件。文件说明如下: - domain name.pem:证书文件。
- domain name.key:证书私钥文件。
IIS 通常安装PFX格式的证书文件。文件说明如下: - domain name.pfx:证书文件。
- pfx-password.txt:证书保护密码。
JKS 通常安装JKS格式的证书文件。文件说明如下: - domain name.jks:证书文件。
- jks-password.txt:证书保护密码。
其他 PEM格式的证书文件。文件说明如下: - domain name.pem:证书文件,格式为PEM。
- domain name.key:证书私钥
在服务器安装SSL证书
您需要通过数字证书管理服务控制台下载SSL证书到本地,并将已下载的SSL证书上传到服务器并修改服务器的相关配置,才能使SSL证书生效。如何下载SSL证书,请参见下载SSL证书到本地。
不同服务器安装SSL证书的具体操作不同。以下内容介绍了在服务器上安装SSL证书的方法,供您参考。
说明 如果您的服务器类型不在以下范围,或者您不熟悉服务器配置操作,
请联系产品技术专家进行咨询,详情请参见专家一对一服务
| Web服务器类型 | 证书安装方法 |
|---|---|
| Nginx、Tengine | 在Nginx或Tengine服务器上安装证书、在Tengine服务器上安装RSA和SM2双算法证书 |
| Spring Boot | 在Spring Boot上启用HTTPS |
| Apache Tomcat 7(及以下版本) | |
| Apache Tomcat 8(及以上版本) | 在CentOS系统Tomcat 8.5或9上部署SSL证书 |
| Apache(httpd) | 在Apache服务器上安装SSL证书 |
| Apache 2 | 在Ubuntu系统Apache 2部署SSL证书 |
| IIS | 在IIS服务器上安装SSL证书 |
| Jetty | 在Jetty服务器上安装SSL证书 |
| GlassFish | 在GlassFish服务器上安装SSL证书 |
在阿里云产品安装SSL证书
阿里云产品可以通过数字证书管理服务控制台直接部署SSL证书,无需您下载SSL证书。仅以下阿里云产品支持通过数字证书管理服务控制台部署SSL证书:Web应用防火墙(WAF)、云服务器ECS、传统型负载均衡CLB(原SLB)、应用型负载均衡ALB、网络型负载均衡NLB、内容分发网络(CDN)、对象存储OSS、全站加速、视频直播、DDoS高防、API网关、视频点播、函数计算、全球加速、安全加速、云原生网关、容器镜像服务。具体操作,请参见部署证书到阿里云产品。
不支持在
数字证书管理服务控制台部署SSL证书的阿里云产品,您需要下载对应云产品的SSL证书,手动部署。具体操作,请参见
下载SSL证书到本地和
在服务器安装SSL证书。
重要 不同的阿里云产品,支持的证书部署方式不同。例如,云·速成美站支持在其控制台上部署下载的SSL证书,具体操作,请参见
域名HTTPS。