您可以通过SSL证书服务,将已签发的阿里云SSL证书、已上传的第三方SSL证书一键部署到支持的阿里云产品,实现证书在阿里云产品上的快捷应用。

前提条件

  • 已开通以下阿里云产品:Web应用防火墙(WAF)对象存储OSS传统负载均衡CLB(原SLB)应用负载均衡ALB内容分发网络(CDN)安全加速全站加速视频直播DDoS高防视频点播API网关全球加速GA函数计算,并且在阿里云产品中配置了与证书匹配的网站域名。

    关于对应云产品的介绍和使用方法,请参见支持一键部署证书的阿里云产品

  • 已通过阿里云SSL证书服务签发了SSL证书,或者已将通过第三方平台签发的SSL证书上传到阿里云SSL证书服务。

    更多信息,请参见提交证书申请上传证书

部署证书到CLB、ALB的限制

通过SSL证书服务部署证书到传统型负载均衡CLB(原SLB)应用型负载均衡ALB的场景,有以下限制:
  • 您已在CLB、ALB中配置过证书。您需要先负载均衡控制台完成首次证书的配置,才能通过SSL证书服务部署证书。
  • 如果CLB、ALB中配置了HTTPS双向认证的监听,则不支持通过SSL证书服务部署证书到CLB、ALB。

    这种情况下,您只能通过负载均衡控制台配置对应的证书。更多信息,请参见使用CLB部署HTTPS业务(双向认证)

  • 如果CLB、ALB中已经部署过证书,则只有当待部署证书的绑定域名等于或包含已部署证书的绑定域名时,才支持通过SSL证书服务部署证书到CLB、ALB(替换已部署证书)。举例说明如下:
    • 假设您已经在CLB、ALB上部署了一个单域名证书(绑定域名为example.com),则只有当待部署证书的绑定域名等于或包含example.com时(例如,待部署证书的绑定域名为example.comwww.example.com*.example.com),才可以通过SSL证书服务部署证书到CLB、ALB(替换已部署证书)。
    • 假设您已经在CLB、ALB上部署了一个通配符域名证书(绑定域名为*.example.com),则只有当待部署证书的绑定域名等于或包含*.example.com时(例如,待部署证书的绑定域名为*.example.comexample.com),才可以通过SSL证书服务部署证书到CLB、ALB(替换已部署证书)。

    如果不满足上述条件,但您仍然需要部署证书到CLB、ALB(替换已部署证书),则只能通过负载均衡控制台更新对应的证书。更多信息,请参见CLB添加HTTPS监听ALB添加HTTPS监听

操作步骤

  1. 登录SSL证书控制台
  2. 在左侧导航栏,单击SSL证书
  3. 通过单击对应页签,选择要操作的证书类型:
    • 证书管理页签:表示操作付费版SSL证书。
    • 免费证书页签:表示操作免费版SSL证书。
    • 上传证书页签:表示操作已上传的SSL证书。

    不同类型证书的部署操作相同,下文以部署付费版SSL证书为例。

  4. 可选:单击证书列表上方的证书状态下拉列表,并选择已签发
    已签发
    该操作将会筛选出所有已经通过CA中心签发的证书。
  5. 定位到要部署的证书,单击操作列下的部署
    如果SSL证书控制台提示您私钥不存在,您需要执行以下子步骤上传私钥。否则请直接跳过以下子步骤执行步骤6
    说明 证书私钥不存在可能是因为您在申请对应证书时,选择的已有CSR未上传私钥或手动填写的CSR是使用第三方工具生成的(SSL证书服务未匹配到该CSR对应的私钥)。您需要先上传证书私钥,才能部署对应证书到阿里云产品中。
    私钥不存在提示信息
    1. 提示对话框中,单击确定
    2. 定位到需要部署的证书,选择操作列下的更多 > 上传私钥
    3. 上传私钥对话框中,填写证书私钥内容的PEM编码。
      您可以使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传并选择存储在本地计算机的证书私钥文件,将文件内容上传到文本框。上传私钥对话框
    4. 单击确定
  6. 证书部署页面,在资源列表区域下选择要部署证书的云产品、云产品所在地区和部署状态。
    支持选择的云产品包括:Web应用防火墙(WAF)对象存储OSS传统负载均衡CLB(原SLB)应用负载均衡ALB内容分发网络(CDN)安全加速全站加速视频直播DDoS高防视频点播API网关全球加速GA函数计算
    选择云产品、云产品所在地区和证书的部署状态后,下方的域名列表会展示已接入对应云产品且和当前证书匹配的域名。
    说明
    • 只有当您在对应云产品中配置了与当前证书匹配的网站域名,并且该域名满足所选择的地区和部署状态后,域名列表中才会显示对应的域名,否则域名列表为空。
    • 针对部署证书到CLB、ALB的场景,如果不满足使用条件(具体信息,请参见部署证书到CLB、ALB的限制),域名列表也会为空。
  7. 选择待部署到云产品的域名,并执行部署操作。
    注意 云服务器ECS和其他云产品的证书部署方式不同,以下将分别介绍云服务器ECS和除云服务器ECS外其他云产品的证书部署方式。
    • 部署证书到云服务器ECS
      云服务器ECS部署功能可以帮您将证书文件直接部署到阿里云云服务器ECS上,并自动执行您配置的重启命令重启云服务器ECS。无需您手动下载证书并上传到云服务器ECS中。您可以参考以下步骤将证书部署到云服务器ECS上:
      1. 证书部署页面的资源列表区域,定位到待部署的云服务器ECS。
      2. 单击待部署云服务器ECS操作列的部署
      3. 路径编辑对话框中,配置相关参数。ECS服务器部署路径编辑
        参数 说明
        证书路径 设置证书文件存放在云服务器ECS中的路径。配置示例:
        • Linux:/ssl/cert.pem
        • Windows:C:\ssl\cert.pem
        私钥路径 设置证书私钥文件存放在云服务器ECS中的路径。配置示例:
        • Linux:/ssl/cert.key
        • Windows:C:\ssl\cert.key
        证书链路径 设置证书链文件存放在云服务器ECS中的路径。该参数为选填项。配置示例:
        • Linux:/ssl/cert.pem
        • Windows:C:\ssl\cert.pem
        重启命令 设置重启或重新加载云服务器ECS中配置证书的WebServer服务的命令。您需要根据实际情况中服务器的操作系统和WebServer类型填写具体的重启命令。

        例如:您的WebServer为Tomcat,可以设置的命令为/opt/apache-tomcat-8.5.73/bin/shutdown.sh && /opt/apache-tomcat-8.5.73/bin/startup.sh ,其中/opt/apache-tomcat-8.5.73/bin/为Tomcat的安装路径。

      4. 单击确定
      注意
      • 为了启用HTTPS协议,您还需要根据您使用的Web应用修改对应的配置文件。建议您在执行部署操作前,完成配置文件的修改。部署成功后,SSL证书服务会将您的证书文件存储在云服务器ECS的指定的证书路径私钥路径中并自动执行重启命令。
      • 不支持同时在多台云服务器ECS上部署证书。
    • 部署证书到除云服务器ECS外其他云产品

      支持两种部署方式:

      • 部署单个域名:定位到要部署当前证书的域名,单击操作列下的部署
      • 一次性部署多个域名:从域名列表中选择要部署当前证书的域名,在待部署列表区域单击全部部署

        SSL证书服务支持跨产品批量部署证书。您可以在多个产品下选中要部署当前证书的域名,在待部署列表区域单击全部部署

      选择要部署证书的云产品
    部署成功后,对应域名的部署状态变更为已部署,且域名列表上方的统计信息(已部署未部署)也会自动更新。
    说明 部署完成后,如果SSL证书没有生效,建议您单击该域名操作列下的重新部署再次进行部署。
    部署状态
  8. 部署完成后,返回证书管理页签。
    证书部署完成后,您可以查看证书的部署情况。在证书管理页面,单击该证书操作列下的详情,查看当前证书的部署情况。证书详情面板下方的已部署区域为您展示了已部署该证书的云产品和域名。已部署

到期自动部署

对于已经部署到阿里云产品的证书,如果您为该证书开启了托管服务(到期自动续费更新),建议您也为该证书开启到期自动部署。证书同时开启托管和到期自动部署后,SSL证书服务会在该证书到期前自动续费更新证书,并自动将更新后的证书部署到对应的阿里云产品。关于到期自动部署的具体操作,请参见开启到期自动部署

如果您没有为证书开启托管服务,则必须在证书到期前通过续费购买手动更新证书,并手动将更新后的证书重新部署到对应的阿里云产品,才能继续使用证书。相关操作,请参见手动续费证书