您可以通过数字证书管理服务,将已签发的阿里云SSL证书(包括免费证书和付费证书)、已上传的第三方SSL证书一键部署到支持的阿里云产品,实现证书在阿里云产品上的快捷应用。本文介绍如何通过数字证书管理服务控制台部署证书到阿里云产品。

前提条件

部署证书到云服务器ECS

  1. 登录数字证书管理服务控制台
  2. 在左侧导航栏,单击SSL证书
  3. 通过单击对应页签,选择要操作的证书类型:
    • 证书管理页签:表示操作付费版SSL证书。
    • 免费证书页签:表示操作免费版SSL证书。
    • 上传证书页签:表示操作已上传的SSL证书。
    说明 您可以免费部署阿里云SSL证书(包含付费版、免费版)到阿里云产品。部署已上传的第三方SSL证书到阿里云产品,则需要付费。具体计费信息,请参见计费项

    不同类型证书的部署操作相同,下文以部署付费版SSL证书为例。

  4. 可选:单击证书列表上方的证书状态下拉列表,并选择已签发
    该操作将会筛选出所有已经通过CA中心签发的证书。
  5. 定位到要部署的证书,单击操作列下的部署
  6. 如果数字证书管理服务控制台提示您私钥不存在,您需要执行以下子步骤上传私钥。
    说明 证书私钥不存在可能是因为您在申请对应证书时,选择的已有CSR未上传私钥或手动填写的CSR是使用第三方工具生成的(数字证书管理服务未匹配到该CSR对应的私钥)。您需要先上传证书私钥,才能部署对应证书到阿里云产品中。
    1. 提示对话框,单击确定
    2. 定位到需要部署的证书,选择操作列下的更多 > 上传私钥
    3. 上传私钥对话框,填写证书私钥内容的PEM编码。
      您可以使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传并选择存储在本地计算机的证书私钥文件,将文件内容上传到文本框。
    4. 单击确定
  7. 证书部署页面,在资源列表区域下选择云服务器ECS、ECS所在地区和部署状态。
    数字证书管理服务会展示已安装云助手客户端并且云助手客户端不低于以下版本的云服务器ECS:
    • Linux:1.0.2.569
    • Windows:1.0.0.149
  8. 执行部署操作。
    仅支持已安装Nginx或Apache的云服务器ECS通过数字证书管理服务控制台部署证书。
    云服务器ECS部署功能帮您将证书文件直接部署到阿里云云服务器ECS上,并自动执行您配置的重启命令重启云服务器ECS。无需您手动下载并上传证书。
    注意
    • 为了启用HTTPS协议,您还需要根据您使用的Web应用修改对应的配置文件。建议您在执行部署操作前,完成配置文件的修改。
    • 不支持同时在多台云服务器ECS上部署证书。
    • 由于无法在云服务器ECS的环境中检测证书的状态,不支持显示云服务器ECS的证书部署状态。完成部署后,建议您自行确认证书是否部署成功。
    1. 证书部署页面的资源列表区域,单击目标实例操作列的部署
    2. 路径编辑对话框,配置相关参数,并单击确定
      配置项 描述
      证书路径 设置证书文件存放在云服务器ECS中的路径。配置示例:
      • Linux服务器:/ssl/cert.pem
      • Windows服务器:C:\ssl\cert.pem
      私钥路径 设置证书私钥文件存放在云服务器ECS中的路径。配置示例:
      • Linux服务器:/ssl/cert.key
      • Windows服务器:C:\ssl\cert.key
      证书链路径 设置证书链文件存放在云服务器ECS中的路径。该参数为选填项。配置示例:
      • Linux服务器:/ssl/cert.pem
      • Windows服务器:C:\ssl\cert.pem
      重启命令 设置重启或重新加载云服务器ECS中配置证书的Web应用的命令。配置示例:
      • Nginx:
        • Linux服务器: /usr/bin/nginx -s reload
        • Windows服务器:c:\nginx\nginx.exe
      • Apache:
        • Linux服务器:httpd -k restart
        • Windows服务器:c:\httpd\apache24\bin\htttpd -k restart
      注意
      • 实际使用时,您需要将上述示例中的应用所在路径替换成您应用的实际路径。
      • 使用httpd -k restart前,您需要将Apache设置为系统服务。
      • 如果未配置重启命令,部署完成后您需要手动重启云服务器ECS或对应的Web应用。
    部署成功后,对应域名的部署状态变更为已部署,且域名列表上方的统计信息(已部署未部署)也会自动更新。
    说明 部署完成后,如果SSL证书没有生效,建议您单击该域名操作列下的重新部署再次进行部署。
  9. 部署完成后,返回证书管理页签。
    证书部署完成后,您可以查看证书的部署情况。在证书管理页面,单击该证书操作列下的详情,查看当前证书的部署情况。证书详情面板下方的已部署区域为您展示了已部署该证书的阿里云产品和域名。

部署证书到其他云产品

如果您需要将证书部署到ALB、CLB、NLB和全球加速中,在满足前提条件的同时需满足以下限制条件。

部署证书到ALB、CLB、NLB的限制

  • 通过数字证书管理服务控制台部署证书到传统型负载均衡CLB(原SLB)应用型负载均衡ALB网络型负载均衡NLB前,您需要登录负载均衡控制台,完成首次证书的配置。具体操作,请参见CLB添加HTTPS监听ALB添加HTTPS监听NLB添加TCPSSL监听
  • 如果CLB、ALB中配置了HTTPS双向认证的监听,您只能通过数字证书管理服务控制台部署服务端证书,对于客户端证书您需要在负载均衡控制台完成部署。部署客户端证书的具体操作,请参见使用CLB部署HTTPS业务(双向认证)
  • 如果CLB、ALB、NLB中已经部署过证书,则只有当待部署证书的绑定域名等于或包含已部署证书的绑定域名时,才支持通过数字证书管理服务控制台部署证书到CLB、ALB、NLB(替换已部署证书)。

部署证书到全球加速的限制

  • 通过数字证书管理服务控制台部署证书到全球加速前,您需要登录全球加速管理控制台,完成首次证书的配置。具体操作,请参见HTTPS安全加速访问HTTP网站
  • 如果全球加速实例中已部署过证书,则只有当待部署证书的绑定域名等于或包含已部署证书的绑定域名时,才支持通过数字证书管理服务控制台部署证书到全球加速(替换已部署证书)。

操作步骤

  1. 登录数字证书管理服务控制台
  2. 在左侧导航栏,单击SSL证书
  3. 通过单击对应页签,选择要操作的证书类型:
    • 证书管理页签:表示操作付费版SSL证书。
    • 免费证书页签:表示操作免费版SSL证书。
    • 上传证书页签:表示操作已上传的SSL证书。
    说明 您可以免费部署阿里云SSL证书(包含付费版、免费版)到阿里云产品。部署已上传的第三方SSL证书到阿里云产品,则需要付费。具体计费信息,请参见计费项

    不同类型证书的部署操作相同,下文以部署付费版SSL证书为例。

  4. 可选:单击证书列表上方的证书状态下拉列表,并选择已签发
    该操作将会筛选出所有已经通过CA中心签发的证书。
  5. 定位到要部署的证书,单击操作列下的部署
  6. 如果数字证书管理服务控制台提示您私钥不存在,您需要执行以下子步骤上传私钥。
    说明 证书私钥不存在可能是因为您在申请对应证书时,选择的已有CSR未上传私钥或手动填写的CSR是使用第三方工具生成的(数字证书管理服务未匹配到该CSR对应的私钥)。您需要先上传证书私钥,才能部署对应证书到阿里云产品中。
    1. 提示对话框,单击确定
    2. 定位到需要部署的证书,选择操作列下的更多 > 上传私钥
    3. 上传私钥对话框,填写证书私钥内容的PEM编码。
      您可以使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传并选择存储在本地计算机的证书私钥文件,将文件内容上传到文本框。
    4. 单击确定
  7. 证书部署页面,在资源列表区域下选择要部署证书的云产品、云产品所在地区和部署状态。
    选择云产品、云产品所在地区和证书的部署状态后,下方的域名列表会展示已接入对应云产品且和当前证书匹配的域名。
    注意
    • 只有当您在对应云产品中配置了当前证书包含的网站域名,并且该域名满足所选择的地区和部署状态后,域名列表中才会显示对应的域名,否则域名列表为空。
    • 针对部署证书到CLB、ALB、NLB和全球加速的场景,如果未在负载均衡控制台完成首次证书配置,域名列表也会为空。
  8. 执行部署操作。
    • 部署单个域名:定位到要部署当前证书的域名,单击操作列下的部署
    • 一次性部署多个域名:从域名列表中选择要部署当前证书的域名,在待部署列表区域单击全部部署

      数字证书管理服务支持跨产品批量部署证书。您可以在多个产品下选中要部署当前证书的域名,在待部署列表区域单击全部部署

    部署成功后,对应域名的部署状态变更为已部署,且域名列表上方的统计信息(已部署未部署)也会自动更新。
    说明 部署完成后,如果SSL证书没有生效,建议您单击该域名操作列下的重新部署再次进行部署。
  9. 部署完成后,返回证书管理页签。
    证书部署完成后,您可以查看证书的部署情况。在证书管理页面,单击该证书操作列下的详情,查看当前证书的部署情况。证书详情面板下方的已部署区域为您展示了已部署该证书的阿里云产品和域名。

到期自动部署

对于已经部署到阿里云产品的证书,如果您为该证书开启了托管服务,建议您也为该证书开启到期自动部署。同时开启托管和到期自动部署后,数字证书管理服务会在该证书到期前30天或15天内自动提交证书申请,待新证书签发后自动将新证书部署到对应的阿里云产品中。具体操作,请参见开启到期自动部署

如果您没有为证书开启托管服务,则必须在证书到期前通过续费购买手动更新证书,并手动将更新后的证书重新部署到对应的阿里云产品,才能继续使用证书。具体操作,请参见续费购买证书