通过数字证书管理服务购买并签发SSL证书后,您需要将已签发的SSL证书安装至服务器,才能使SSL证书生效。本文介绍如何下载及安装SSL证书。

SSL证书安装场景

场景 说明
在服务器安装SSL证书 表示在提供Web服务的服务器上配置下载后的SSL证书,并开启HTTPS监听,实现客户端与服务器之间的HTTPS通信。具体操作,请参见下载SSL证书到本地在服务器安装SSL证书
说明 如果您的SSL证书的安装环境复杂,需要一对一远程技术指导或现场部署,您可以购买证书部署服务。具体操作,请参见 证书申请协助和部署服务
在阿里云产品安装SSL证书 表示通过数字证书管理服务控制台,将SSL证书快速应用到阿里云产品的指定资源上,简化SSL证书配置操作。具体操作,请参见在阿里云产品安装SSL证书

下载SSL证书到本地

不同类型的服务器支持配置的SSL证书格式不同。为了便于您安装SSL证书,数字证书管理服务提供了适用于各种服务器(例如,Nginx、Spring Boot、Apache Tomcat、Apache(httpd)、Internet Information Services)的SSL证书压缩包,供您直接下载使用(无需手动转换SSL证书格式)。

如果您已经通过 数字证书管理服务购买并签发了SSL证书,可以执行以下步骤,将已签发的阿里云SSL证书下载到本地。
重要 为了保证数据安全性,您上传到 数字证书管理服务进行统一管理的第三方证书不支持下载。
  1. 登录数字证书管理服务控制台
  2. 在左侧导航栏,单击SSL证书
  3. 通过单击对应页签,选择要操作的SSL证书类型:
    • 证书管理页签:表示操作付费版SSL证书。
    • 免费证书页签:表示操作免费版SSL证书。

    不同类型SSL证书的下载操作相同,下文操作描述以下载付费版SSL证书为例。

  4. 在SSL证书列表,定位到要下载的SSL证书,单击操作下载
    说明 只有状态为 已签发即将过期已过期的SSL证书支持 下载操作,否则SSL证书 操作列下不会显示 下载按钮。
  5. 证书下载面板,定位到目标服务器,单击操作列的下载
    数字证书管理服务已经将您的SSL证书自动转换成适用于不同服务器的格式并压缩。完成下载后,您可以解压对应SSL证书的压缩包获得对应的SSL证书文件,解压后的非国密算法证书文件说明如下表所示。
    说明
    国密算法证书安装通常是PEM格式,下载后通常包含四个文件:
    • 签名证书:server_sign.pem和server_sign.key。
    • 加密证书:server_enc.pem和server_enc.key。

    如果下载后没有适合您服务器的证书格式,您可以通过OpenSSL工具转换证书格式,具体操作,请参见如何转换证书格式?

    对于通过客户端浏览器访问的服务器,无需关注根证书,因为根证书已经内置在客户端浏览器。如果您需要下载根证书和中间证书,具体操作,请参见下载根证书和中间证书

    服务器类型 证书文件说明
    Tomcat 通常安装PFX、JKS格式的证书文件,JKS文件请在JSK服务器列下载。PFX文件说明如下:
    • domain name.pfx:证书文件,格式为PFX。
    • pfx-password.txt:证书保护密码。
    说明 如果您在提交证书申请时,未将 CSR生成方式设置为 系统生成,则您下载的证书压缩包中不包含TXT密码文件。
    Apache 通常安装CRT格式的证书文件。文件说明如下:
    • domain name_public.crt:证书文件。
    • domain name_chain.crt:证书链文件。
    • domain name.key:证书私钥文件。
    Nginx 通常安装PEM格式的证书文件。文件说明如下:
    • domain name.pem:证书文件。
    • domain name.key:证书私钥文件。
    IIS 通常安装PFX格式的证书文件。文件说明如下:
    • domain name.pfx:证书文件。
    • pfx-password.txt:证书保护密码。
    JKS 通常安装JKS格式的证书文件。文件说明如下:
    • domain name.jks:证书文件。
    • jks-password.txt:证书保护密码。
    其他 PEM格式的证书文件。文件说明如下:
    • domain name.pem:证书文件,格式为PEM。
    • domain name.key:证书私钥

在服务器安装SSL证书

您需要通过数字证书管理服务控制台下载SSL证书到本地,并将已下载的SSL证书上传到服务器并修改服务器的相关配置,才能使SSL证书生效。如何下载SSL证书,请参见下载SSL证书到本地

不同服务器安装SSL证书的具体操作不同。以下内容介绍了在服务器上安装SSL证书的方法,供您参考。
说明 如果您的服务器类型不在以下范围,或者您不熟悉服务器配置操作, 请联系产品技术专家进行咨询,详情请参见专家一对一服务
Web服务器类型 证书安装方法
Nginx、Tengine 在Nginx或Tengine服务器上安装证书在Tengine服务器上安装RSA和SM2双算法证书
Spring Boot 在Spring Boot上启用HTTPS
Apache Tomcat 7(及以下版本)
Apache Tomcat 8(及以上版本) 在CentOS系统Tomcat 8.5或9上部署SSL证书
Apache(httpd) 在Apache服务器上安装SSL证书
Apache 2 在Ubuntu系统Apache 2部署SSL证书
IIS 在IIS服务器上安装SSL证书
Jetty 在Jetty服务器上安装SSL证书
GlassFish 在GlassFish服务器上安装SSL证书

在阿里云产品安装SSL证书

阿里云产品可以通过数字证书管理服务控制台直接部署SSL证书,无需您下载SSL证书。仅以下阿里云产品支持通过数字证书管理服务控制台部署SSL证书:Web应用防火墙(WAF)云服务器ECS传统型负载均衡CLB(原SLB)应用型负载均衡ALB网络型负载均衡NLB内容分发网络(CDN)对象存储OSS全站加速视频直播DDoS高防API网关视频点播函数计算全球加速安全加速云原生网关容器镜像服务。具体操作,请参见部署证书到阿里云产品

不支持在 数字证书管理服务控制台部署SSL证书的阿里云产品,您需要下载对应云产品的SSL证书,手动部署。具体操作,请参见 下载SSL证书到本地在服务器安装SSL证书
重要 不同的阿里云产品,支持的证书部署方式不同。例如,云·速成美站支持在其控制台上部署下载的SSL证书,具体操作,请参见 域名HTTPS