如果云服务器上已经部署过证书,需要更新为新的证书时,可以在通过证书部署任务自动替换云服务器上的证书文件,而无需手动登录服务器修改配置文件,以简化证书更新的流程并降低操作风险。
使用限制
仅适用于已部署过SSL证书,需自动更新证书(非首次部署)的场景。首次部署时,请参见方式一:登录服务器部署(支持国际/国密SSL证书)。
仅支持Nginx/Apache等直接引用PEM、CRT格式证书的Web环境。不支持IIS自动部署,原因是IIS部署时需要将PFX格式的证书导入至系统,无法直接引用。
一个部署任务仅支持将一张证书部署至一个云服务器实例,如需部署多个SSL证书,请创建多个部署任务。
费用
部署次数不足时,请购买部署次数,,费用为30元/次,有效期为一年。
仅部署上传证书类型的证书时会消耗部署次数。非上传证书类型,以及不同阿里云账号(账号需归属于同一个经过实名认证的个人或企业用户)之间共享的证书,部署时不消耗部署次数。部署失败时,将返还相应的部署次数。
前提条件
已在Web服务器开放443端口。请确保已经在安全组规则入方向添加TCP 443端口。具体操作,请参见管理安全组规则(ECS)、管理防火墙(轻量应用服务器)。
域名已正确解析至当前服务器,且已完成工信部 ICP 备案(适用于中国内地服务器)。
已获得本服务器的管理权限(即“root账号”或“有 sudo 权限”的账号)。
步骤一:部署SSL证书
登录数字证书管理服务控制台。
在左侧导航栏,选择。
在云服务器部署页面,单击创建任务。
在基础配置引导页,填写任务名称后,单击下一步。
在选择证书引导页,选择证书类型,勾选关联证书后,单击下一步。
通过私有CA服务签发的证书会同步至上传证书页签。
在选择资源引导页,选择云服务器类型,勾选目标实例后,单击下一步。首次进入该页面,系统会自动识别并拉取当前阿里云账号下所有符合条件的云服务器实例(即云服务器中部署了Web应用)。
说明如未显示资源,请单击资源总数区域的同步云产品资源手动同步,同步时间和云产品的资源数相关,请耐心等待。
在部署配置引导页,参考下表进行配置,单击确定。
重要证书路径和私钥路径必须和Web应用中配置的证书路径一致,否则证书不会生效。
下图为云服务器中Nginx的证书文件配置路径,仅供参考:
配置项
描述
配置示例(仅供参考,请以实际部署路径为准)
证书路径
证书文件存放在云服务器中的绝对路径。
Linux示例:/ssl/cert.pem
Windows示例:c:\ssl\cert.pem
私钥路径
证书私钥文件存放在云服务器中的绝对路径。
Linux示例:/ssl/cert.key
Windows示例:c:\ssl\cert.key
证书链路径
证书链文件存放在云服务器中的绝对路径。
说明Web应用中已配置证书链文件时,请对照填写该路径。
Linux示例:/ssl/cert.cer
Windows示例:c:\ssl\cert.cer
重启命令
如果配置了重启命令,在部署证书后,将执行此命令重启云服务器中的Web应用或重新加载Web应用配置文件,以使证书生效。
重要如出现Web应用重启失败的情况,请前往对应的云服务器进行操作。
重新加载Nginx配置文件的命令为
sudo nginx -s reload
。重启Apache服务的命令为
sudo systemctl restart httpd
。
在弹出的对话框单击确定。
如果未配置重启命令,则提示如下。单击确定后,请登录对应云服务器手动重启Web应用服务,以确保证书立即生效。
如果配置了重启命令,则提示如下。请确认风险后单击确定,部署任务结束后会执行重启命令重启服务器,以确保证书立即生效。
步骤二:查看部署任务是否执行成功
在云服务器部署页面,找到您创建的任务,任务状态为部署成功,即表示已成功将证书更新至云服务器中。
步骤三:验证SSL证书是否安装成功
请通过 HTTPS 访问您已绑定证书的域名(如
https://yourdomain.com
,yourdomain.com
需替换为实际域名)。若浏览器地址栏显示安全锁图标,说明证书已成功部署。如访问异常或未显示安全锁,请先清除浏览器缓存或使用无痕(隐私)模式重试。
说明Chrome 浏览器自 117 版本起,地址栏中的
已被新的
替代,需单击该图标后查看安全锁信息。
如仍有问题,请参考常见问题进行排查。
后续步骤(可选)
开启域名监控
建议在证书部署完成后,为域名开启域名监控功能。系统将自动检测证书有效期,并在到期前发送提醒,帮助您及时续期,避免服务中断。具体操作请参见购买并开启公网域名监控。
常见问题
安装或更新证书后,证书未生效或 HTTPS 无法访问
常见原因如下:
域名未完成备案。请参见如何查看域名解析记录以及 ICP 备案信息。
服务器安全组或防火墙未开放 443 端口。
证书的绑定域名未包含当前访问的域名。
部署任务的任务状态异常,请前往任务详情页,单击查看失败原因后,根据提示更新相关配置后重试。
当前域名的 DNS 解析指向多台服务器,但证书仅在部分服务器上安装。需分别在每个服务器中安装证书。
如需进一步排查,请参考:根据浏览器错误提示解决证书部署问题 和 SSL证书部署故障自助排查指南。
哪些场景下不能使用控制台部署任务部署证书?
云服务器从未部署过SSL证书,或云服务器资源无法同步,以及服务器不在阿里云上时,无法通过部署任务完成部署。您需要手动部署SSL证书,请参见:方式一:登录服务器部署(支持国际/国密SSL证书)。
部署报错“the cloud Assistant not install or run”怎么办?
原因:未安装ECS云助手或 ECS云助手状态异常。
解决方案一:
访问ECS控制台-云助手。
定位至目标服务器,查看云助手状态。
若未安装可单击一键安装自动化安装。
若状态异常请参见云助手异常状态处理查找解决方案。
ECS云助手状态正常后,重新在数字证书控制台创建云服务器部署任务。
解决方案二:
参考在Nginx或Tengine服务器安装 SSL证书(Linux),使用手动安装部署的方式为ECS服务器安装证书。
相关文档
云服务器Web应用中证书配置操作,请参见方式一:登录服务器部署(支持国际/国密SSL证书)。
WordPress证书安装实践,请参见在WordPress环境上安装SSL证书(Linux)。