如果您不了解如何在Web服务器安装证书,希望通过简单的操作为网站实现HTTPS通信,推荐您使用网站代理HTTPS。网站代理HTTPS支持免安装SSL证书实现网站HTTPS,方便您快速和便捷地应用SSL证书。

重要 数字证书管理服务已不支持新购、续费和升级网站代理HTTPS实例,您只能使用已购买的网站代理HTTPS实例。

使用限制

本方案适合帮助轻量级网站业务快速实现HTTPS通信,使用本方案的网站需要同时满足以下条件:
  • 网站服务器通过HTTP 80端口、HTTPS 443端口提供Web服务。
  • 网站的日常QPS不超过100。
  • 网站域名已完成ICP备案。
  • 您拥有修改网站域名DNS解析设置的权限。
  • 网站未应用基于代理的安全防护、网站加速服务(例如,DDoS高防、Web应用防火墙、CDN等)。

步骤一:为网站代理HTTPS实例申请证书

  1. 登录数字证书管理服务控制台
  2. 在左侧导航栏,单击网站代理HTTPS
  3. 单击目标网站代理HTTPS实例操作列的添加域名
    网站代理HTTPS实例只有在未过期并且未申请退款的状态下,才能进行添加域名操作。否则操作列不会显示添加域名入口。
  4. 添加域名面板,完成参数配置并单击下一步
    参数 说明
    证书绑定域名 填写您的网站域名。本文以install-free.aliyundoc.com为例。
    域名验证方式 根据您填写的证书绑定域名,自动匹配对应的验证方式,无需手动设置。如果您填写的是通过阿里云注册的域名,自动匹配自动DNS验证;如果您填写的是通过第三方平台注册的域名,自动匹配手工DNS验证
    联系人 设置联系人信息,便于在证书申请过程中遇到问题时与您取得联系。
    所在地 选择申请人所在城市或地区。
    密钥算法 选择RSA
    CSR生成方式 选择系统生成
  5. 完成域名所有权(DNS)验证。
    域名所有权验证表示验证上一步添加的域名属于证书申请提交人。根据您添加的域名的具体情况,进行以下操作:
    • 提交证书申请与证书绑定的域名的所有者为同一个阿里云账号时,直接单击验证,并在收到域名验证成功的提示后,单击提交审核网站代理HTTPS-域名验证
    • 域名是通过第三方平台注册时,则需要按照页面提示,前往域名对应的解析服务系统,修改域名解析设置(添加一条TXT类型的解析记录)。修改解析设置后,返回添加域名页面,单击验证,并在收到域名验证成功的提示后,单击提交审核
    提交审核后,网站代理HTTPS实例的证书状态将变更为准备中。耐心等待几分钟,证书状态将变更为正常,表示SSL证书已经成功签发。

步骤二:设置源站IP地址

  1. 登录数字证书管理服务控制台
  2. 在左侧导航栏,单击网站代理HTTPS
  3. 单击目标网站代理HTTPS实例操作列下的添加域名
  4. 添加域名面板,参考以下说明完成回源配置,并单击确认
    配置项 说明
    源站地址 选择IPv4并填写源站服务器的公网IP地址。最多支持填写3个IP地址,多个IP地址间使用半角逗号(,)分隔。
    重要 请勿填写私网IP地址,否则会报错。
    强制HTTPS访问 表示使客户端浏览器的所有HTTP请求都跳转成HTTPS请求。建议保持开启,无需修改。
    TLS/SSL卸载 表示让阿里云SSL证书服务器使用HTTP协议与您的源站服务器通信,减轻源站的负载压力。建议保持开启,无需修改。
    完成回源配置后,网站代理HTTPS实例的CNAME列下会生成一个CNAME值,且接入状态会变更为异常
  5. 可选:单击目标实例操作列下的状态检测,查看网站接入状态。
    返回结果如下图所示,表示您需要前往域名的解析服务系统,按照状态检测中的提示,添加指定的CNAME解析记录。网站代理HTTPS-状态检测

步骤三:修改域名解析设置

以下操作以通过阿里云注册的域名为例。如果您的域名是通过第三方平台注册的,请前往域名对应的解析服务系统,修改域名解析设置。

  1. 登录云解析DNS控制台
  2. 域名解析页面,定位到您的域名,单击操作列的解析设置
  3. 解析设置列表,通过主机记录(本文以install-free为例)定位到要操作的解析记录,执行以下操作:
    1. TXT类型的解析记录删除。
      该解析记录是步骤一:为网站代理HTTPS实例申请证书中为完成域名所有权验证自动生成的记录值,此时证书已经签发,该解析记录已无效。
    2. 单击A类型解析记录操作列的修改
      如果当前主机记录没有对应的A类型解析记录,您可以单击列表上方的添加记录
    云解析-解析设置修改
  4. 修改记录(或者添加记录)面板,按照步骤二:设置源站IP地址状态检测的提示,设置CNAME类型解析记录,并单击确认云解析-修改记录
    解析记录设置完成后,您可以在解析设置列表中查看CNAM解析记录的状态。此时,CNAME解析记录的状态正常,表示该解析记录已生效。云解析-状态正常

步骤四:验证HTTPS访问

完成解析设置后,回到网站代理HTTPS页面,刷新页面并查看域名的接入状态。域名的接入状态将变更为正常
重要 如果您的源站服务器上安装了安全软件,您必须在源站安全软件上放行网站代理HTTPS的回源IP地址,否则网站代理HTTPS的回源流量可能会被源站安全软件拦截,导致网站响应异常。更多信息,请参见放行回源IP地址段
这时,您可以使用浏览器访问已添加的域名,验证是否已成功实现HTTPS。返回结果如下。连接安全浏览器的地址栏出现了锁状图标图标,表示客户端与服务端已成功建立HTTPS安全连接。单击锁状图标图标,可以查看到证书的状态为有效