创建部署任务将SSL证书部署至云产品-数字证书管理服务-阿里云-数字证书管理服务（原SSL证书）(SSL Certificate)-阿里云帮助中心

前提条件

本文不涉及ECS、轻量应用服务器的操作指导，如需将证书部署至ECS或轻量应用服务器，请参见更新证书（非首次部署）至阿里云ECS或轻量应用服务器。
已通过数字证书管理服务购买和申请证书（状态为已签发）。如需购买和申请证书，请参见购买正式证书和申请证书。
已签发的SSL证书名称不能包含中文：

在SSL证书管理列表页面找到目标已签发证书，单击证书ID右侧的证书链接进入详情页，确认证书名称是否包含中文。
域名已完成工信部ICP备案（仅限中国内地部署的服务）。
如何查看域名解析记录以及 ICP 备案信息
打开网络拨测工具，选择网络诊断分析，输入当前域名，确认以下信息：
- DNS 服务商解析结果：
  若为 A 记录，则其指向的 IP 地址必须与待部署证书的目标服务器公网IP一致。
  若为 CNAME 记录，则其指向的域名必须与待部署证书的流量入口（如 WAF、CDN、ALB 等）提供的 CNAME 地址一致。
- 备案检查为网站已备案。若显示“网站未备案，请咨询网站服务器提供商”，请完成备案后再安装证书。
  如果您使用的是阿里云服务器，请前往阿里云备案系统进行网站备案，具体操作请参见ICP备案流程。
  如果您使用的不是阿里云服务器，请前往服务器提供商的备案系统或工信部备案官网进行备案。
确认证书状态，以及证书和目标域名的匹配情况。
确认证书状态和域名匹配情况
在SSL证书管理页面，定位需部署的目标证书，并确认以下信息：
1. 证书状态：确保其为已签发。若为即将过期或已过期，则需续费SSL证书。
2. 绑定域名：确保其能够匹配所有需保护的域名，否则未匹配的域名访问 HTTPS 时将出现安全警告。如需添加或修改，请参见追加和更换域名。
  确认证书是否匹配目标域名
  
  证书的绑定域名可包含多个精确域名和通配符域名。每类域名的匹配规则如下：
  
  精确域名：仅对指定域名生效。
  
  example.com 仅对 example.com 生效。
  
  www.example.com 仅对 www.example.com 生效。
  
  通配符域名：仅对其一级子域名生效。
  
  *.example.com 对 www.example.com、a.example.com 等一级子域名生效。
  
  *.example.com 对根域名 example.com 和多级子域名 a.b.example.com 不生效。
  
  说明
  如需匹配多级子域名，绑定域名中需包含该域名（如 a.b.example.com），或包含相应的通配符域名（如 *.b.example.com）。

使用限制

说明

若您使用的产品不在"云产品部署"功能支持的范围内，请参考该产品的文档进行部署。支持一键推送的产品见下方表格。
以下表格中的"更新已有证书"表示云产品已部署过证书，当前需要替换证书的场景。

云产品	部署任务适用场景	证书配置场景
云虚拟主机	首次部署证书、更新已有证书	HTTPS 加密访问网站场景
容器镜像服务 ACR	更新已有证书	HTTPS 域名访问容器镜像服务企业版实例场景
容器服务 Kubernetes 版本 ACK	更新已有证书	ACK 托管与专有集群中更新 AlbConfig 证书和 Secret 证书重要请勿在容器服务 ACK 中手动修改 Secret，系统会自动创建新的 Secret。
Serverless 应用引擎-网关路由	更新已有证书	网关路由转发协议配置 HTTPS 场景（ALB 和 CLB）
函数计算 FC	更新已有证书	HTTP 函数场景
微服务引擎-云原生网关	更新已有证书	云原生网关路由场景
云原生 API 网关	更新已有证书	HTTPS 域名访问 API 场景
全球加速 GA	更新已有证书	HTTPS 域名安全加速访问场景
应用型负载均衡 ALB 网络型负载均衡 NLB 传统型负载均衡 CLB	更新已有证书	HTTPS 监听来转发来自 HTTPS 协议的请求的场景（服务器证书）说明部署客户端证书，请参见部署客户端证书。
应用型负载均衡 ALB 网络型负载均衡 NLB 传统型负载均衡 CLB	更新已有证书	HTTPS 监听来转发来自 HTTPS 协议的请求的场景（服务器证书）说明部署客户端证书，请参见部署客户端证书。
内容分发网络 CDN	首次部署证书、更新已有证书	HTTPS 安全加速场景
全站加速 DCDN	首次部署证书、更新已有证书	HTTPS 安全加速场景
边缘安全加速（ESA）	更新已有证书	HTTPS 安全加速场景
对象存储 OSS	更新已有证书	HTTPS 的方式访问 OSS 服务场景说明绑定 CDN 加速域名，需在 CDN 控制台替换证书。
Web 应用防火墙（WAF）	更新已有证书	CNAME 接入场景
DDoS 高防	更新已有证书	DDoS 高防域名接入场景
视频直播	首次部署证书、更新已有证书	推/播流 HTTPS 安全加速场景
视频点播	首次部署证书、更新已有证书	分发加速场景
人工智能平台 PAI	更新已有证书	模型在线服务 EAS（Elastic Algorithm Service）：专属网关使用自定义域名

部署国密标准 SSL 证书（SM2，仅 CDN、DCDN 和 DDoS 防护产品支持）

内容分发网络 CDN：调用 SetCdnDomainSMCertificate 接口设置国密证书。
全站加速 DCDN：配置国密标准 SSL 证书。
DDoS 防护：配置国密标准 SSL 证书。

操作步骤

步骤一：购买部署次数

说明

仅部署上传证书类型的证书时会消耗部署次数。非上传证书类型，请直接前往步骤二：授权检查。

部署次数不足时，请购买部署次数，费用为30元/次，有效期为一年。
非上传证书类型，以及不同阿里云账号（账号需归属于同一个经过实名认证的个人或企业用户）之间共享的证书，部署时不消耗部署次数。部署失败时，将返还相应的部署次数。

步骤二：授权检查

说明

非容器服务 ACK 类型的部署任务，请直接前往步骤三：部署证书至云产品资源。

部署证书至容器服务 ACK 前，需要通过阿里云账号登录容器服务 ACK 控制台，为 AliyunCASDefaultRole 角色授予运维人员管理目标集群的权限。否则，数字证书管理服务控制台无法识别 Namespace（集群命名空间）。

进入容器服务 ACK 授权管理页面，在RAM 角色页签，输入 AliyunCASDefaultRole，单击管理权限。
在权限管理页签，为目标集群添加运维人员权限。

步骤三：部署证书至云产品资源

部署单个证书至云产品资源

首次使用部署服务，需要按照页面提示进行授权，授权后即可创建部署任务。关于授权说明，请参见授权访问云资源。
登录数字证书管理服务控制台。
在左侧导航栏，选择证书管理 > SSL证书管理。
在SSL证书管理页面，单击对应的证书页签，并在证书列表的操作列，单击部署。

通过私有CA服务签发的证书会同步至上传证书页签，您可以在该页签进行操作。
在创建任务页面的选择资源引导页，选择或调整对应的云产品和资源（支持选择一个或多个云产品及对应资源），单击预览并提交。
- 系统会根据您选择的SSL证书智能匹配已经配置过SSL证书的云产品资源，您可以在智能匹配提示对话框，单击确定，系统会将匹配到的云产品资源添加到已选择实例：区域，随后您可以根据需求对已选择的云产品资源进行调整。
  
  在页面右侧的已选择资源区域，已选中的云产品资源按产品类型分组显示（如API网关、函数计算、全球加速(GA)等），每个分组旁有清空链接，可按需移除对应分组的资源。
- 系统会自动识别并拉取所有云产品中的资源，如果您在对应的云产品中未找到目标资源，请您确认以下事项：
  - 在资源总数区域确认资源是否已完成同步，如果资源正在同步中（显示为灰色状态），请您耐心等待资源同步完成。资源同步时间取决于您的当前云产品的资源数。
  - 如果云产品资源同步完成后仍然没有找到对应资源，请您确认是否满足证书部署前提条件。
在任务预览面板，确认部署的证书实例和云产品资源信息，如无问题，单击提交。

预览页面会显示对应云产品匹配的证书个数和消耗的部署次数。证书匹配个数为0表示您选择的证书与云产品资源不匹配，会导致部署失败，请您仔细核对选择的证书。

批量部署证书至云产品资源

首次使用部署服务，需要按照页面提示进行授权，授权后即可创建部署任务。关于授权说明，请参见授权访问云资源。
登录数字证书管理服务控制台。
在左侧导航栏，选择部署管理 > 云产品部署。

在云产品部署页面，单击创建任务，按照以下步骤部署SSL证书。

在基础配置引导页，配置任务名称、联系人和部署时间，单击下一步。

配置项	说明
任务名称	自定义部署任务名称。
联系人	选择部署任务消息提醒联系人，用于接收部署任务提醒消息，最多支持添加10个联系人。
部署时间	立即部署：立即部署证书至阿里云产品。自定义时间：指定部署任务执行时间，系统会在指定的时间启动部署任务。

在选择证书引导页，选择与云产品资源对应的SSL证书，单击下一步。
- 通过私有CA服务签发的证书会同步至阿里云上的证书 ID。您需要先上传证书页签，您可以在该页签进行选择。
- 一个部署任务只允许选择一种证书类型下的证书。
在选择资源引导页，选择或调整对应的云产品和资源（支持选择一个或多个云产品及对应资源），单击预览并提交。

说明
SLB单个监听绑定多个服务器证书场景不支持批量部署。
- 系统会根据您选择的SSL证书智能匹配已经配置过SSL证书的云产品资源，您可以在智能匹配提示对话框，单击确定，系统会将匹配到的云产品资源添加到已选择资源区域，随后您可以根据需求对已选择的云产品资源进行调整。
- 系统会自动识别并拉取所有云产品中的资源，如果您在对应的云产品中未找到目标资源，请您确认以下事项：
  - 在当前配置的所有副本的资源总数超过推荐值4C8G，可能会造成资源包的快速消耗区域确认资源是否已完成同步，如果资源正在同步中（灰色状态），请您耐心等待资源同步完成。资源同步时间取决于您的当前云产品的资源数。
  - 如果云产品资源同步完成后仍然没有找到对应资源，请您确认是否满足证书首次部署场景。部署说明，请参见前提条件。
在任务预览面板，确认部署的证书实例和云产品资源信息，如无问题，单击提交。

预览页面会显示对应云产品匹配的证书个数和消耗的部署次数。证书匹配个数为0表示您选择的证书与云产品资源不匹配，会导致部署失败，请您仔细核对选择的证书。

常见问题

SSL证书是否支持跨阿里云账号部署云产品？

阿里云SSL证书不能直接跨账号部署。

如果多个账号属于同一实名认证主体，可通过证书共享功能实现免费跨账号部署；具体操作，请参见上传、同步和共享SSL证书。
若账号实名认证主体不同，则需在原账号下载证书后，再前往目标账号手动上传和部署。

证书部署成功后，云产品就一定启用了HTTPS吗？

在数字证书管理服务控制台完成云产品部署后，仅表示证书已经推送至对应云产品，您仍需前往对应的云产品控制台验证。

部署证书时云产品资源数显示为０？

创建部署任务时，系统会自动识别并拉取所有云产品中的资源，如果您在对应的云产品中未找到目标资源，请您确认以下事项：

在资源总数区域确认资源是否同步完成，如果资源正在同步中（如图示灰色状态），请耐心等待。资源同步时间取决于当前云产品的资源数。
如果云产品资源同步完成后，仍无法找到对应资源，请确认是否满足证书部署首次配置，如果不满足请前往对应的云产品控制台部署。

SSL 证书签发后，是否只需在域名解析服务中配置 A 记录指向公网 IP 即可访问 HTTPS？

不是。配置 A 记录仅实现域名到 IP 的解析，并未启用 HTTPS 加密。SSL 证书签发后，还需要完成以下步骤才能正常访问 HTTPS：

部署证书：将 SSL 证书安装到 Web 服务器（如 Nginx、Apache 等）或阿里云云产品上，并确保证书文件与私钥配置正确。
ICP 备案：域名需完成 ICP 备案后方可正常访问。

说明

网站域名必须完成 ICP 备案才能通过 HTTPS 正常访问。备案相关操作，请参见ICP 备案 FAQ。

如何将已签发的 SSL 证书部署到 API 网关并验证 HTTPS 生效？

部署步骤：

登录 API 网关控制台，将已签发的 SSL 证书绑定到对应的 HTTPS 服务或分组。
完成绑定后，等待配置生效（通常需要几分钟）。

验证方法：

使用 curl 命令验证 HTTPS 是否生效：

curl -v https://<域名>

检查返回结果中的以下信息：

包含 SSL certificate verify ok 字样，表示证书验证通过。
包含证书详细信息（如 subject、expire date 等），确认证书与预期一致。
HTTP 状态码正常（如 200 或业务预期的状态码），表示服务可正常访问。

若以上条件均满足，则表示 SSL 证书已成功部署到 API 网关且 HTTPS 已生效。

云产品部署：部署 SSL 证书至 SLB/CDN/WAF 等云产品