免安装SSL证书实现HTTPS - 数字证书管理服务

注意数字证书管理服务已不支持新购、续费和升级网站代理HTTPS实例，您只能使用已购买的网站代理HTTPS实例。

使用限制

本方案适合帮助轻量级网站业务快速实现HTTPS通信，使用本方案的网站需要同时满足以下条件：

登录数字证书管理服务控制台。
在左侧导航栏，单击网站代理HTTPS。
单击目标网站代理HTTPS实例操作列的添加域名。
网站代理HTTPS实例只有在未过期并且未申请退款的状态下，才能进行添加域名操作。否则操作列不会显示添加域名入口。

在添加域名面板，完成参数配置并单击下一步。


参数	说明
证书绑定域名	填写您的网站域名。本文以`install-free.aliyundoc.com`为例。
域名验证方式	根据您填写的证书绑定域名，自动匹配对应的验证方式，无需手动设置。如果您填写的是通过阿里云注册的域名，自动匹配自动DNS验证；如果您填写的是通过第三方平台注册的域名，自动匹配手工DNS验证。
联系人	设置联系人信息，便于在证书申请过程中遇到问题时与您取得联系。
所在地	选择申请人所在城市或地区。
密钥算法	选择RSA。
CSR生成方式	选择系统生成。

完成域名所有权（DNS）验证。
域名所有权验证表示验证上一步添加的域名属于证书申请提交人。根据您添加的域名的具体情况，进行以下操作：
- 提交证书申请与证书绑定的域名的所有者为同一个阿里云账号时，直接单击验证，并在收到域名验证成功的提示后，单击提交审核。
- 域名是通过第三方平台注册时，则需要按照页面提示，前往域名对应的解析服务系统，修改域名解析设置（添加一条TXT类型的解析记录）。修改解析设置后，返回添加域名页面，单击验证，并在收到域名验证成功的提示后，单击提交审核。
提交审核后，网站代理HTTPS实例的证书状态将变更为准备中。耐心等待2分钟左右，证书状态将变更为正常，表示SSL证书已经成功签发。

在添加域名面板，参考以下说明完成回源配置，并单击确认。


配置项	说明
源站地址	选择IPv4并填写源站服务器的公网IP地址。最多支持填写3个IP地址，多个IP地址间使用半角逗号（,）分隔。注意请勿填写私网IP地址，否则会报错。
强制HTTPS访问	表示使客户端浏览器的所有HTTP请求都跳转成HTTPS请求。建议保持开启，无需修改。
TLS/SSL卸载	表示让阿里云SSL证书服务器使用HTTP协议与您的源站服务器通信，减轻源站的负载压力。建议保持开启，无需修改。

完成回源配置后，网站代理HTTPS实例的CNAME列下会生成一个CNAME值，且接入状态会变更为异常。

可选：单击目标实例操作列下的状态检测，查看网站接入状态。
返回结果如下图所示，表示您需要前往域名的解析服务系统，按照状态检测中的提示，添加指定的CNAME解析记录。

以下操作以通过阿里云注册的域名为例。如果您的域名是通过第三方平台注册的，请前往域名对应的解析服务系统，修改域名解析设置。

登录云解析DNS控制台。
在域名解析页面，定位到您的域名，单击操作列下的解析设置。
在解析设置列表，通过主机记录（本文以install-free为例）定位到要操作的解析记录，执行以下操作：
1. 将TXT类型的解析记录删除。
  该解析记录是步骤一：为网站代理HTTPS实例申请证书中为完成域名所有权验证自动生成的记录值，此时证书已经签发，该解析记录已无效。
2. 单击A类型解析记录操作列下的修改。
  如果当前主机记录没有对应的A类型解析记录，您可以单击列表上方的添加记录。
在修改记录（或者添加记录）面板，按照步骤二：设置源站IP地址中状态检测的提示，设置CNAME类型解析记录，并单击确认。
解析记录设置完成后，您可以在解析设置列表中查看CNAM解析记录的状态。此时，CNAME解析记录的状态为正常，表示该解析记录已生效。

完成解析设置后，回到网站代理HTTPS页面，刷新页面并查看域名的接入状态。域名的接入状态将变更为正常。

注意如果您的源站服务器上安装了安全软件，您必须在源站安全软件上放行网站代理HTTPS的回源IP地址，否则网站代理HTTPS的回源流量可能会被源站安全软件拦截，导致网站响应异常。更多信息，请参见放行回源IP地址段。

这时，您可以使用浏览器访问已添加的域名，验证是否已成功实现HTTPS。返回结果如下。连接安全

浏览器的地址栏出现了锁状图标

图标，表示客户端与服务端已成功建立HTTPS安全连接。单击锁状图标

图标，可以查看到证书的状态为有效。