更新证书(非首次部署)至阿里云ECS或轻量应用服务器 — 云服务器部署

如果云服务器上已经部署过证书,需要更新为新的证书时,可以在通过证书部署任务自动替换云服务器上的证书文件,而无需手动登录服务器修改配置文件,以简化证书更新的流程并降低操作风险。

使用限制

  • 仅适用于已部署过SSL证书,需自动更新证书(非首次部署)的场景。首次部署时,请参见方式一:登录服务器部署(支持国际/国密SSL证书)

  • 仅适用于阿里云云服务器(轻量应用服务器云服务器ECS)。

  • 仅支持Nginx/Apache等直接引用PEM、CRT格式证书的Web环境。不支持IIS自动部署,原因是IIS部署时需要将PFX格式的证书导入至系统,无法直接引用。

  • 一个部署任务仅支持将一张证书部署至一个云服务器实例,如需部署多个SSL证书,请创建多个部署任务。

费用

  • 部署次数不足时,请购买部署次数,费用为30元/次,有效期为一年

  • 仅部署上传证书类型的证书时会消耗部署次数。非上传证书类型,以及不同阿里云账号(账号需归属于同一个经过实名认证的个人或企业用户)之间共享的证书,部署时不消耗部署次数。部署失败时,将返还相应的部署次数。

前提条件

  • 已通过数字证书管理服务购买和申请证书(状态已签发)。如需购买和申请证书,请参见购买正式证书申请证书

  • 已在Web服务器开放443端口。请确保已经在安全组规则入方向添加TCP 443端口。具体操作,请参见管理安全组规则(ECS)管理防火墙(轻量应用服务器)

  • 域名已正确解析至当前服务器,且已完成工信部 ICP 备案(适用于中国内地服务器)。

    如何查看域名解析记录以及 ICP 备案信息

    打开网络拨测工具,选择网络诊断分析,输入当前域名,确认以下信息:

    • DNS 服务商解析结果中 A 记录的 IP 为当前服务器的公网 IP。

    • 备案检查网站已备案。若显示“网站未备案,请咨询网站服务器提供商”,请完成备案后再安装证书。

  • 已获得本服务器的管理权限(即“root账号”或“有 sudo 权限”的账号)。

步骤一:部署SSL证书

  1. 登录数字证书管理服务控制台

  2. 在左侧导航栏,选择部署和资源管理 > 云服务器部署

  3. 云服务器部署页面,单击创建任务

    1. 基础配置引导页,填写任务名称后,单击下一步

    2. 选择证书引导页,选择证书类型,勾选关联证书后,单击下一步

      • 通过私有CA服务签发的证书会同步至上传证书页签。

    3. 选择资源引导页,选择云服务器类型,勾选目标实例后,单击下一步。首次进入该页面,系统会自动识别并拉取当前阿里云账号下所有符合条件的云服务器实例(即云服务器中部署了Web应用)。

      说明

      如未显示资源,请单击资源总数区域的同步云产品资源手动同步,同步时间和云产品的资源数相关,请耐心等待。

      image

    4. 部署配置引导页,参考下表进行配置,单击确定

      重要

      证书路径私钥路径必须和Web应用中配置的证书路径一致,否则证书不会生效。

      下图为云服务器中Nginx的证书文件配置路径,仅供参考:

      image

      配置项

      描述

      配置示例(仅供参考,请以实际部署路径为准)

      证书路径

      证书文件存放在云服务器中的绝对路径。

      • Linux示例:/ssl/cert.pem

      • Windows示例:c:\ssl\cert.pem

      私钥路径

      证书私钥文件存放在云服务器中的绝对路径。

      • Linux示例:/ssl/cert.key

      • Windows示例:c:\ssl\cert.key

      证书链路径

      证书链文件存放在云服务器中的绝对路径。

      说明

      Web应用中已配置证书链文件时,请对照填写该路径。

      • Linux示例:/ssl/cert.cer

      • Windows示例:c:\ssl\cert.cer

      重启命令

      如果配置了重启命令,在部署证书后,将执行此命令重启云服务器中的Web应用或重新加载Web应用配置文件,以使证书生效。

      重要

      如出现Web应用重启失败的情况,请前往对应的云服务器进行操作。

      • 重新加载Nginx配置文件的命令为sudo nginx -s reload

      • 重启Apache服务的命令为sudo systemctl restart httpd

    5. 在弹出的对话框单击确定

      • 如果未配置重启命令,则提示如下。单击确定后,请登录对应云服务器手动重启Web应用服务,以确保证书立即生效。

        image

      • 如果配置了重启命令,则提示如下。请确认风险后单击确定,部署任务结束后会执行重启命令重启服务器,以确保证书立即生效。

        image

步骤二:查看部署任务是否执行成功

云服务器部署页面,找到您创建的任务,任务状态部署成功,即表示已成功将证书更新至云服务器中。

image

步骤三:验证SSL证书是否安装成功

  1. 请通过 HTTPS 访问您已绑定证书的域名(如 https://yourdomain.comyourdomain.com 需替换为实际域名)。

  2. 若浏览器地址栏显示安全锁图标,说明证书已成功部署。如访问异常或未显示安全锁,请先清除浏览器缓存或使用无痕(隐私)模式重试。

    image

    说明

    Chrome 浏览器自 117 版本起,地址栏中的image已被新的image替代,需单击该图标后查看安全锁信息。

    image

说明

如仍有问题,请参考常见问题进行排查。

后续步骤(可选)

开启域名监控

建议在证书部署完成后,为域名开启域名监控功能。系统将自动检测证书有效期,并在到期前发送提醒,帮助您及时续期,避免服务中断。具体操作请参见购买并开启公网域名监控

常见问题

安装或更新证书后,证书未生效或 HTTPS 无法访问

常见原因如下:

  • 域名未完成备案。请参见如何查看域名解析记录以及 ICP 备案信息

  • 服务器安全组或防火墙未开放 443 端口。

  • 证书的绑定域名未包含当前访问的域名。

  • 部署任务的任务状态异常,请前往任务详情页,单击查看失败原因后,根据提示更新相关配置后重试。

  • 当前域名的 DNS 解析指向多台服务器,但证书仅在部分服务器上安装。需分别在每个服务器中安装证书。

哪些场景下不能使用控制台部署任务部署证书?

云服务器从未部署过SSL证书,或云服务器资源无法同步,以及服务器不在阿里云上时,无法通过部署任务完成部署。您需要手动部署SSL证书,请参见:方式一:登录服务器部署(支持国际/国密SSL证书)

部署报错“the cloud Assistant not install or run”怎么办?

image

原因:未安装ECS云助手或 ECS云助手状态异常。

相关文档