操作手册
【试用教程】使用SSL证书实现网站安全访问
cas
手动配置
60
教程简介
在本教程中,您将掌握如何通过数字证书管理服务将SSL证书部署到阿里云内容分发网络CDN,为您的业务网站提供可信身份认证和安全数据传输。
我能学到什么
学会如何通过数字证书管理服务申请免费版个人测试证书。
学会通过数字证书管理服务部署SSL证书到CDN,实现客户端和CDN节点之间请求的HTTPS加密。
准备环境及资源
15
开始教程前,请按以下步骤准备环境和资源:
准备已注册的域名。
不支持后缀为
.edu、.gov、.org、.jp、.pay、.bank、.live和.nuclear等特殊词的域名申请免费版个人测试证书。访问阿里云免费试用。单击页面右上方的登录/注册按钮,并根据页面提示完成账号登录(已有阿里云账号)、账号注册(尚无阿里云账号)或实名认证(根据试用产品要求完成个人实名认证或企业实名认证)。
成功登录后,在产品类别下选择安全 > 数据安全,在Digicert DV证书 单域名卡片上,单击立即试用。
在Digicert DV证书 单域名面板,仔细阅读并选中云盾证书服务服务协议,单击立即试用并完成支付。
提交证书申请
25
登录数字证书管理服务控制台。
在左侧导航栏,选择证书管理 > SSL证书管理。
在个人测试证书(原免费证书)页签,单击创建证书。
在证书申请面板,按照下表配置证书参数,选中快捷签发,并单击提交审核。
配置项
说明
证书类型
选择个人测试证书(免费版):证书签发后有效期3个月。
证书剩余数量/总数
表示剩余可申请的证书个数/总共可申请的证书个数。只有当剩余可申请的证书个数不为0时,您才可以创建证书。
域名名称
选择您在CDN添加的域名。此处只可以填写一个单域名,例如
aliyundoc.com。数量
证书申请数量,默认为1,不支持增加。
快捷签发
域名验证方式
如果您当前的阿里云账号与域名的DNS云解析服务所在账号一致,申请证书时,阿里云数字证书管理服务将会自动识别,并默认选择自动DNS验证方式,且不支持修改,提交审核后,系统会自动进行DNS验证。
如果您当前的阿里云账号与域名的DNS云解析服务所在账号不一致,您可以选择以下任意一种方式进行域名所有权验证。
手动DNS验证:您需要手动修改域名的DNS解析记录,并在证书绑定域名的域名控制台,添加一条解析记录用于域名所有权验证。
域名授权自动化验证:您需要手动在对应的DNS域名解析服务商,添加一条CNAME类型的解析记录用于域名所有权验证。添加成功后,后续申请对应域名的SSL证书时可以直接选择该方式,且无需再添加域名解析记录。具体操作,请参见域名所有权验证。
文件验证:您需要手动从数字证书管理服务控制台下载一个专用的证书验证文件,然后将该文件上传到站点服务器的指定验证目录。
联系人
在下拉列表,单击新建联系人,新建本次证书申请的联系人。如果已创建过联系人,可以直接选择已有的联系人。
请您务必确保联系人信息准确且有效。
所在地
选择您所在的城市或地区。
密钥算法
SSL证书使用的密钥算法。默认选择为RSA,且不支持修改。
RSA算法是目前在全球应用广泛的非对称加密算法,兼容性好。
CSR生成方式
CSR(Certificate Signing Request)文件是SSL证书的请求文件,包含服务器信息和单位信息,需要提交给CA中心审核。
您选择系统生成即可,表示由数字证书管理服务自动使用您在密钥算法指定的加密算法生成CSR文件。
按照验证信息中的提示,完成域名所有权的验证。
域名所有权验证成功后,证书通常会在1~2个工作日完成签发,最快10分钟内签发。证书签发后,证书状态将变更为已签发。如果SSL证书长时间未签发,请您检查DNS验证配置是否正确。域名所有权验证更多信息和常见报错,请参见域名所有权验证。
说明如果您未选中快捷签发,创建证书申请后,您将获得一个证书(对应要申请的证书)。您需要在该证书操作列,单击证书申请,填写证书申请信息并提交审核后,再按照该步骤进行验证。
部署SSL证书到CDN
10
SSL证书签发后,您可以通过数字证书管理服务控制台将证书部署到CDN中。
登录数字证书管理服务控制台。
在左侧导航栏,选择部署和资源管理 > 云产品部署。
在云产品部署页面,单击创建任务,按照以下步骤部署SSL证书。
首次使用部署服务,需要按照页面提示进行授权,授权后即可创建部署任务。
在基础配置引导页,配置任务名称、联系人和部署时间,单击下一步。
配置项
说明
任务名称
自定义部署任务名称。
联系人
选择部署任务消息提醒联系人,用于接收部署任务提醒消息,最多支持添加10个联系人。
部署时间
选择立即部署。
立即部署:立即部署证书至CDN。
自定义时间:指定部署任务执行时间,系统会在指定的时间启动部署任务。
在选择证书引导页,单击个人测试证书(原免费证书),并选择需要部署至CDN的SSL证书,单击下一步。
在选择资源引导页,选择CDN资源,单击预览并提交。
说明系统会自动识别并拉取所有云产品中的资源,如果未找到对应的资源,请您在资源列表上方手动单击智能匹配云产品资源。
在任务预览页面,确认部署的证书实例和CDN资源信息,如无问题,单击提交。
证书匹配个数为0表示您选择的证书与云产品资源不匹配,会导致部署任务失败,请您仔细核对选择的证书。
部署完成后,返回云产品任务部署列表,任务状态将显示为部署成功。
完成
5
完成以上操作后,您已经成功通过数字证书管理服务控制台部署SSL证书至CDN。您可以登录CDN控制台,在域名管理页面查看HTTPS是否已开启。
清理及后续
5
清理
个人测试证书(免费版)有效期默认为3个月。如果您未及时安装新的SSL证书,旧SSL证书过期后,CDN将会停止HTTPS加速服务,可能会造成数据泄露的风险。
后续
部署SSL证书至CDN后,您即可启用HTTPS加速服务,实现网站数据加密传输。
在个人测试证书(免费版)即将过期时,您需要签发新的证书用于替换即将过期的证书,或升级使用兼容性和安全性更好的付费正式证书。更多信息,请参见个人测试证书即将过期处理方法。
总结
常用知识点
问题1:CDN安装SSL证书后,将会通过什么加密协议安全传输数据?(单选题)
正确答案是HTTPS。HTTPS是基于SSL协议的网站加密传输协议,是HTTP的安全版,CDN安装SSL证书后,将会通过HTTPS加密协议安全传输数据。
问题2:个人测试证书(免费版)过期后,如何处理?(单选题)
正确答案是重新签发新的个人测试证书(免费版)或升级付费正式SSL证书和个人测试证书(pro)。个人测试证书(免费版)不支持续费,在SSL证书即将到期时,阿里云为您提供了三种替换过期证书的方案,包括继续使用剩余个人测试证书额度、购买HTTPS网关服务(可省去证书签发和部署操作)或直接购买正式证书。