您可以通过数字证书管理服务,将已签发的阿里云SSL证书(包括免费证书和付费证书)、已上传的第三方SSL证书一键部署到支持的阿里云产品,实现证书在阿里云产品上的快捷应用。本文介绍通过数字证书管理服务控制台部署证书到阿里云产品的具体操作。

前提条件

部署证书到CLB、ALB的限制

操作步骤

  1. 登录数字证书管理服务控制台
  2. 在左侧导航栏,单击SSL证书
  3. 通过单击对应页签,选择要操作的证书类型:
    • 证书管理页签:表示操作付费版SSL证书。
    • 免费证书页签:表示操作免费版SSL证书。
    • 上传证书页签:表示操作已上传的SSL证书。
    说明 您可以免费部署阿里云SSL证书(包含付费版、免费版)到阿里云产品。部署已上传的第三方SSL证书到阿里云产品,则需要付费。具体计费信息,请参见计费方式

    不同类型证书的部署操作相同,下文以部署付费版SSL证书为例。

  4. 可选:单击证书列表上方的证书状态下拉列表,并选择已签发
    该操作将会筛选出所有已经通过CA中心签发的证书。
  5. 定位到要部署的证书,单击操作列下的部署
  6. 如果数字证书管理服务控制台提示您私钥不存在,您需要执行以下子步骤上传私钥。
    说明 证书私钥不存在可能是因为您在申请对应证书时,选择的已有CSR未上传私钥或手动填写的CSR是使用第三方工具生成的(数字证书管理服务未匹配到该CSR对应的私钥)。您需要先上传证书私钥,才能部署对应证书到阿里云产品中。
    1. 提示对话框中,单击确定
    2. 定位到需要部署的证书,选择操作列下的更多 > 上传私钥
    3. 上传私钥对话框中,填写证书私钥内容的PEM编码。
      您可以使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传并选择存储在本地计算机的证书私钥文件,将文件内容上传到文本框。上传私钥对话框
    4. 单击确定
  7. 证书部署页面,在资源列表区域下选择要部署证书的云产品、云产品所在地区和部署状态。
    选择云产品、云产品所在地区和证书的部署状态后,下方的域名列表会展示已接入对应云产品且和当前证书匹配的域名。
    说明
    • 只有当您在对应云产品中配置了当前证书包含的网站域名,并且该域名满足所选择的地区和部署状态后,域名列表中才会显示对应的域名,否则域名列表为空。
    • 针对部署证书到CLB、ALB的场景,如果未在负载均衡控制台完成首次证书配置,域名列表也会为空。
  8. 选择待部署到云产品的域名,并执行部署操作。
    云服务器ECS和其他云产品的证书部署方式不同,具体说明如下:
    • 部署证书到云服务器ECS
      使用部署功能的云服务器ECS需同时满足以下条件:
      • 已安装云助手。
      • 已安装Nginx或Apache。
      云服务器ECS部署功能帮您将证书文件直接部署到阿里云云服务器ECS上,并自动执行您配置的重启命令重启云服务器ECS。无需您手动下载并上传证书。您可以参考以下步骤将证书部署到云服务器ECS上:
      注意
      • 为了启用HTTPS协议,您还需要根据您使用的Web应用修改对应的配置文件。建议您在执行部署操作前,完成配置文件的修改。
      • 不支持同时在多台云服务器ECS上部署证书。
      • 由于无法在云服务器ECS的环境中检测证书的状态,不支持显示云服务器ECS的证书部署状态。完成部署后,建议您自行确认证书是否部署成功。
      1. 证书部署页面的资源列表区域,单击目标实例操作列的部署
      2. 路径编辑对话框中,配置相关参数。ECS服务器部署路径编辑
        参数 说明
        证书路径 设置证书文件存放在云服务器ECS中的路径。配置示例:
        • Linux服务器:/ssl/cert.pem
        • Windows服务器:C:\ssl\cert.pem
        私钥路径 设置证书私钥文件存放在云服务器ECS中的路径。配置示例:
        • Linux服务器:/ssl/cert.key
        • Windows服务器:C:\ssl\cert.key
        证书链路径 设置证书链文件存放在云服务器ECS中的路径。该参数为选填项。配置示例:
        • Linux服务器:/ssl/cert.pem
        • Windows服务器:C:\ssl\cert.pem
        重启命令 设置重启或重新加载云服务器ECS中配置证书的Web应用的命令。配置示例:
        • Nginx:
          • Linux服务器:taskkill /f im nginx.exe && start \b
          • Windows服务器:c:\nginx\nginx.exe
        • Apache:
          • Linux服务器:httpd -k restart
          • Windows服务器:c:\httpd\apache24\bin\htttpd -k restart
        注意
        • 实际使用时,您需要将上述示例中的应用所在路径替换成您应用的实际路径。
        • 使用httpd -k restart前,您需要将Apache设置为系统服务。
        • 如果未配置重启命令,部署完成后您需要手动重启云服务器ECS或对应的Web应用。
      3. 单击确定
    • 部署证书到除云服务器ECS外其他云产品
      • 部署单个域名:定位到要部署当前证书的域名,单击操作列下的部署
      • 一次性部署多个域名:从域名列表中选择要部署当前证书的域名,在待部署列表区域单击全部部署

        数字证书管理服务支持跨产品批量部署证书。您可以在多个产品下选中要部署当前证书的域名,在待部署列表区域单击全部部署

    部署成功后,对应域名的部署状态变更为已部署,且域名列表上方的统计信息(已部署未部署)也会自动更新。
    说明 部署完成后,如果SSL证书没有生效,建议您单击该域名操作列下的重新部署再次进行部署。
  9. 部署完成后,返回证书管理页签。
    证书部署完成后,您可以查看证书的部署情况。在证书管理页面,单击该证书操作列下的详情,查看当前证书的部署情况。证书详情面板下方的已部署区域为您展示了已部署该证书的云产品和域名。

到期自动部署

对于已经部署到阿里云产品的证书,如果您为该证书开启了托管服务(到期自动续费更新),建议您也为该证书开启到期自动部署。同时开启托管和到期自动部署后,数字证书管理服务会在该证书到期前自动续费更新证书,并自动将更新后的证书部署到对应的阿里云产品。具体操作,请参见开启到期自动部署

如果您没有为证书开启托管服务,则必须在证书到期前通过续费购买手动更新证书,并手动将更新后的证书重新部署到对应的阿里云产品,才能继续使用证书。具体操作,请参见续费购买证书