本文介绍如何根据业务需求选择合适的证书部署方案,为网站和应用启用 HTTPS 安全访问。
在服务端部署 SSL 证书(必需):若需要为网站、API 或应用启用 HTTPS,必须在服务端部署 SSL 证书。
在客户端安装根证书:客户端需要预埋根证书以确保安全通信和验证服务器身份,通常客户端操作系统或者浏览器已经预埋根证书。仅当访问使用自签名证书的系统、客户端设备无法识别证书颁发机构、根证书缺失或已过期时,才需要在客户端安装根证书。
在服务端部署 SSL 证书
适用范围
开始部署前,确保满足以下条件:
证书状态:已拥有由权威机构签发的 SSL 证书,且证书状态为已签发。如需购买和申请证书,请参见购买正式证书和向CA(证书颁发机构)提交申请。
域名匹配:确保证书能够匹配所有需保护的域名。如需添加或修改域名,可根据需求购买正式证书或追加和更换域名。
精确域名:仅对指定域名生效。
example.com仅对example.com生效。www.example.com仅对www.example.com生效。
通配符域名:仅对其一级子域名生效。
*.example.com对www.example.com、a.example.com等一级子域名生效。*.example.com对根域名example.com和多级子域名a.b.example.com不生效。
说明如需匹配多级子域名,绑定域名中需包含该域名(如
a.b.example.com),或包含相应的通配符域名(如*.b.example.com)。域名备案与解析:
ICP 备案:域名已完成工信部 ICP 备案(仅适用于中国内地服务器)。
域名解析:域名已通过 A 记录解析至服务器的公网 IP。
说明可访问网络诊断分析工具,输入域名,检查 DNS 服务商解析结果和备案检查项,确保满足要求。
确认证书部署位置
在处理HTTPS流量的过程中,确保在所有相关网络节点上全面部署SSL证书至关重要。这些节点包括但不限于Web服务器(如Nginx、Apache、IIS)、应用型负载均衡(ALB)、内容分发网络(CDN)、Web应用防火墙(WAF)、API网关等。在这些节点上部署SSL证书,可以提供从客户端到服务端的全链路加密,有效防止中间环节出现明文传输风险,确保端到端的安全通信。
流量直接到达服务器:当用户通过访问服务器的公网IP地址来访问网站内容时,流量直接到达服务器,而不经过其他中间节点。
流量经过多个网络节点:当用户通过域名访问网站内容时,流量通常会经过多个网络节点,例如内容分发网络(CDN)和应用型负载均衡(ALB),然后才被转发到真实的服务器上进行处理。
流量直接到达服务器
当公网流量直接访问源站 Web 服务器,且无其他中间网络代理时,SSL 证书仅需部署在该 Web 服务器上。
流量经过多个网络节点
若流量在到达目标服务器前,需经过 CDN、WAF 等多个中间节点,则每个处理 HTTPS 流量的节点均须部署证书。
本文以“用户 → CDN → WAF → 负载均衡器 (ALB) → 源站服务器”这一复杂架构为例进行说明。此架构仅用于展示多节点场景下的证书部署策略。实际部署时,请根据您的网络架构在相应节点部署证书。
在不同场景下,证书的部署节点及传输加密范围如下:
场景 | 加密链路(HTTPS) | 明文链路(HTTP) | 需部署证书的节点 | 说明 |
场景一 | 用户 ↔ CDN | CDN → WAF → ALB → 源站服务器 | CDN | 仅加密客户端到 CDN 的流量,成本最低,但内网存在明文传输风险。 |
场景二 | 用户 ↔ WAF | WAF → ALB → 源站服务器 | CDN、WAF | 加密范围扩展至 WAF,提升了安全性。 |
场景三 | 用户 ↔ ALB | ALB → 源站服务器 | CDN、WAF、ALB | 仅源站服务器前一跳为明文传输,安全性较高。 |
场景四 | 用户 ↔ 源站服务器 | 无 | CDN、WAF、ALB、源站服务器 | 实现全链路加密,提供最高级别的安全保障。 |
选择证书部署方案
证书部署过程中如有任何问题需要协助,请联系产品技术专家进行咨询,详情请参见专家一对一服务。
选择SSL证书部署方案前,需明确证书的部署目标(服务器或云产品),并按以下规则选择:
部署至服务器:适用于阿里云ECS、轻量应用服务器、非阿里云服务器及自建服务器。
部署至云产品:适用于阿里云的SLB、CDN、WAF等云产品(不含ECS和轻量应用服务器),以及腾讯云、华为云、AWS等第三方云平台的CDN、WAF、CLB等云产品。
部署至服务器
请根据实际情况选择以下合适的方案,将证书部署至服务器中。
阿里云ECS、轻量应用服务器
请根据实际使用的Web应用服务器以及操作系统选择合适的证书部署教程。若需确认Web服务器类型,可参考如何查看Web服务器类型。
部署国际标准SSL证书(RSA/ECC):
通过控制台自动部署
可将证书一键部署至指定的ECS可信实例,或将新证书自动更新至已配置证书的ECS或轻量应用服务器,以提升部署效率并降低配置风险。具体操作可参考部署 SSL 证书至 ECS/轻量应用服务器。
登录服务器部署
服务器操作系统
部署教程
Linux 系统
Windows 系统
部署国密标准SSL证书(SM2):
服务器操作系统
证书部署教程
适用品牌
Linux 系统
所有品牌
WoSign
WoSign
Windows 系统
WoSign
说明目前,阿里云仅提供Tengine、Nginx、Apache服务器国密标准证书的安装教程。不同版本的操作系统和Web服务器,部署操作可能有所差异。
非阿里云服务器
请根据实际使用的Web应用服务器以及操作系统选择合适的证书部署教程。若需确认Web服务器类型,可参考如何查看Web服务器类型。
部署国际标准SSL证书(RSA/ECC):
服务器操作系统
部署教程
Linux 系统
Windows 系统
部署国密标准SSL证书(SM2):
服务器操作系统
证书部署教程
适用品牌
Linux 系统
所有品牌
WoSign
WoSign
Windows 系统
WoSign
说明目前,阿里云仅提供Tengine、Nginx、Apache服务器国密标准证书的安装教程。不同版本的操作系统和Web服务器,部署操作可能有所差异。
部署至云产品
阿里云
部署国际标准SSL证书(RSA/ECC)
通过数字证书管理服务控制台部署
在以下场景中,可使用数字证书管理服务控制台提供的云产品部署功能,其支持一键推送证书到相关产品中,无需手动上传 SSL 证书。具体操作请参见部署 SSL 证书至 SLB/CDN/WAF 等云产品。
说明若您使用的产品不在“云产品部署”功能支持的范围内,请参考相关云产品的文档进行部署。
以下表格中的“更新已有证书”表示云产品已部署过证书,当前需要替换证书的场景。
云产品
部署任务适用场景
证书配置场景
云虚拟主机
首次部署证书、更新已有证书
HTTPS加密访问网站场景
容器镜像服务ACR
更新已有证书
HTTPS域名访问容器镜像服务企业版实例场景
容器服务Kuberbetes版本ACK
更新已有证书
ACK托管与专有集群:更新AlbConfig证书配置、更新Secret证书
重要部署至 Secret 时,请勿在容器服务ACK中手动修改。
Serverless应用引擎-网关路由
更新已有证书
网关路由转发协议配置HTTPS场景(ALB和CLB)
函数计算FC
更新已有证书
HTTP函数场景
微服务引擎-云原生网关
更新已有证书
云原生网关路由场景
API网关
更新已有证书
HTTPS域名访问API场景
全球加速GA
更新已有证书
HTTPS域名安全加速访问场景
应用型负载均衡ALB
网络型负载均衡NLB
传统型负载均衡CLB
更新已有证书
HTTPS监听来转发来自HTTPS协议的请求的场景(服务器证书)
说明部署客户端证书,请参见配置全链路HTTPS访问实现加密通信。
内容分发网络CDN
首次部署证书、更新已有证书
HTTPS安全加速场景
全站加速DCDN
首次部署证书、更新已有证书
HTTPS安全加速场景
边缘安全加速(ESA)
更新已有证书
HTTPS安全加速场景
对象存储OSS
更新已有证书
HTTPS的方式访问OSS服务场景
说明绑定CDN加速域名,需在CDN控制台替换证书。
Web应用防火墙(WAF)
更新已有证书
CNAME接入场景
DDoS高防
更新已有证书
DDoS高防域名接入场景
视频直播
首次部署证书、更新已有证书
推/播流HTTPS安全加速场景
视频点播
首次部署证书、更新已有证书
分发加速场景
人工智能平台 PAI
更新已有证书
模型在线服务EAS(Elastic Algorithm Service):专属网关使用自定义域名
通过云产品控制台部署
请在下表中找到对应的云产品后,参考相关文档一栏的文档前往云产品的控制台,根据指引完成后续的证书部署。
云产品
证书配置场景
相关文档
云虚拟主机
HTTPS加密访问网站场景
容器镜像服务ACR
HTTPS域名访问容器镜像服务企业版实例场景
容器服务Kuberbetes版本ACK
ACK托管与专有集群:更新AlbConfig证书配置、更新Secret证书
重要部署至 Secret 时,请勿在容器服务ACK中手动修改。
Serverless应用引擎-网关路由
网关路由转发协议配置HTTPS场景(ALB和CLB)
Serverless应用引擎(新版)
Serverless应用引擎(旧版)
函数计算FC
HTTP函数场景
微服务引擎-云原生网关
云原生网关路由场景
API网关
HTTPS域名访问API场景
全球加速GA
HTTPS域名安全加速访问场景
应用型负载均衡ALB
网络型负载均衡NLB
传统型负载均衡CLB
HTTPS监听来转发来自HTTPS协议的请求的场景(服务器证书)
说明部署客户端证书,请参见配置全链路HTTPS访问实现加密通信。
应用型负载均衡ALB:添加HTTPS监听
网络型负载均衡NLB:NLB添加TCPSSL监听
传统型负载均衡CLB:添加HTTPS监听
内容分发网络CDN
HTTPS安全加速场景
全站加速DCDN
HTTPS安全加速场景
边缘安全加速(ESA)
HTTPS安全加速场景
对象存储OS
HTTPS的方式访问OSS服务场景
说明绑定CDN加速域名,需在CDN控制台替换证书。
Web应用防火墙(WAF)
CNAME接入场景
WAF 3.0:添加域名及配置HTTPS证书
WAF 2.0:添加域名及配置HTTPS证书
DDoS高防
DDoS高防域名接入场景
视频直播
推/播流HTTPS安全加速场景
推流:配置HTTPS安全加速
播流:配置HTTPS安全加速
视频点播
分发加速场景
人工智能平台 PAI
模型在线服务EAS(Elastic Algorithm Service):专属网关使用自定义域名
云·速成美站
HTTPS加密访问网站场景
云·企业官网
HTTPS加密访问网站场景
部署国密标准SSL证书(SM2,仅CDN、DCDN和DDoS防护产品支持)
内容分发网络CDN:调用SetCdnDomainSMCertificate接口设置国密证书。
全站加速 DCDN:配置国密HTTPS。
DDoS 防护:更换服务器HTTPS证书。
腾讯云、华为云和AWS
通过数字证书管理服务控制台部署
使用阿里云数字证书管理服务控制台可将证书部署至第三方云平台。操作步骤请参见部署证书至三方云平台。支持的云平台和服务如下:
腾讯云:内容分发网络CDN、Web应用防火墙、负载均衡CLB
AWS:Amazon CloudFront(CDN)、负载均衡(ALB、NLB和CLB)
华为云:内容分发网络CDN、弹性负载均衡ELB
参考云厂商官网文档部署
请参考相关云厂商的官方文档进行证书部署。
在客户端安装根证书
对于loT设备、嵌入式系统、企业内部系统、离线App、旧版本浏览器、Java客户端等业务场景,一般不会预埋CA根证书,因此部署SSL证书后,可能会出现客户端不信任的情况,需要手动下载根证书并将根证书安装至客户端。具体操作可参考下载和安装根证书。
常见问题
如何下载根证书?
可参考下载和安装根证书,下载相关证书品牌的根证书。
证书链不完整、缺少中间证书时怎么办?
客户端的根证书和中间证书缺失或过期时,请参照如何解决网站SSL证书链不完整,下载安装缺失的根证书或中间证书后,重新尝试访问。
部署证书时提示:“证书链中的一个或多个中间证书丢失”?
部分服务端系统部署 SSL 证书时,如:Windows 2008 R2 中的 IIS 部署SSL证书时,可能会提示此错误,此时需在服务端安装缺失的根证书或中间证书。
如何查看Web服务器类型?
使用浏览器开发者工具查看
使用浏览器访问您的域名。
按F12,打开开发者工具,按照下图指引查看服务器类型。
使用命令方式查看
登录您的服务器。
在您的服务器输入以下命令查看Web服务器类型。
curl -i yourdomain说明yourdomain是必选参数,需替换为您实际的网站域名,例如curl -i www.aliyundoc.com。查询结果示例如下图所示:
咨询网站搭建工程师
如果仍然查询不到Web服务器类型,请咨询您的网站搭建工程师。如果您遇到其他问题,请联系产品技术专家进行咨询,详情请参见专家一对一服务。