本文介绍如何根据业务需求选择合适的证书部署方案,为网站和应用启用 HTTPS 安全访问。
适用范围
SSL 证书部署包含两个环节:
在服务端部署 SSL 证书(必须):若需要为网站、API 或应用启用 HTTPS,必须在服务端部署 SSL 证书。
在客户端安装根证书(可选):仅当访问使用自签名证书的系统、客户端设备无法识别证书颁发机构、根证书缺失或已过期时,才需要在客户端安装根证书。客户端需要预安装根证书以确保安全通信和验证服务器身份,通常客户端操作系统或者浏览器已预安装主流根证书。
在服务端部署 SSL 证书
前提条件
开始部署前,确保满足以下条件:
证书状态:已拥有由权威机构签发的 SSL 证书,且证书状态为已签发。如需购买和申请证书,请参见购买 SSL 证书和申请免费 SSL 证书。
域名匹配:确保证书能够匹配所有需保护的域名。如需添加或修改域名,可根据需求购买正式证书或追加和更换域名。
精确域名:仅对指定域名生效。
example.com仅对example.com生效。www.example.com仅对www.example.com生效。
通配符域名:仅对其一级子域名生效。
*.example.com对www.example.com、a.example.com等一级子域名生效。*.example.com对根域名example.com和多级子域名a.b.example.com不生效。
说明如需匹配多级子域名,绑定域名中需包含该域名(如
a.b.example.com),或包含相应的通配符域名(如*.b.example.com)。域名备案与解析:
ICP 备案:域名已完成工信部 ICP 备案(仅适用于中国内地服务器)。
域名解析:域名已通过 A 记录解析至服务器的公网 IP。
说明可访问网络诊断分析工具,输入域名,检查 DNS 服务商解析结果和备案检查项,确保满足要求。
确认证书部署位置
需要在处理 HTTPS 流量的所有网络节点上部署 SSL 证书,包括 Web 服务器(如 Nginx、Apache、IIS)、应用型负载均衡(ALB)、内容分发网络(CDN)、Web 应用防火墙(WAF)、云原生 API 网关等。在这些节点上部署证书,可提供从客户端到服务端的全链路加密,防止中间环节出现明文传输。
根据流量路径,证书部署分为以下两种场景:
流量直接到达服务器:当公网流量直接访问源站 Web 服务器时,流量不经过其他中间节点。
流量经过多个网络节点:当用户通过域名访问网站时,流量通常会经过 CDN、ALB 等多个中间节点,然后才被转发到源站服务器。
流量直接到达服务器
当公网流量直接访问源站 Web 服务器时,SSL 证书仅需部署在该 Web 服务器上。
流量经过多个网络节点
如果流量在到达目标服务器前,需经过 CDN、WAF 等多个中间节点,则每个处理 HTTPS 流量的节点均需部署证书。
本文以"用户 → CDN → WAF → 负载均衡器 (ALB) → 源站服务器"架构为例说明多节点场景下的证书部署策略。实际部署时,请根据您的网络架构在相应节点部署证书。
在不同场景下,证书的部署节点及传输加密范围如下:
场景 | 加密链路(HTTPS) | 明文链路(HTTP) | 需部署证书的节点 | 说明 |
场景一 | 用户 ↔ CDN | CDN → WAF → ALB → 源站服务器 | CDN | 仅加密客户端到 CDN 的流量,成本最低,但内网存在明文传输风险。 |
场景二 | 用户 ↔ WAF | WAF → ALB → 源站服务器 | CDN、WAF | 加密范围扩展至 WAF,提升了安全性。 |
场景三 | 用户 ↔ ALB | ALB → 源站服务器 | CDN、WAF、ALB | 仅源站服务器前一跳为明文传输,安全性较高。 |
场景四 | 用户 ↔ 源站服务器 | 无 | CDN、WAF、ALB、源站服务器 | 实现全链路加密,提供最高级别的安全保障。 |
选择证书部署方案
证书部署过程中如有任何问题需要协助,请联系产品技术专家进行咨询,详情请参见专家一对一服务。
选择 SSL 证书部署方案前,需明确证书的部署目标(服务器或云产品),并按以下规则选择:
部署至服务器:适用于阿里云 ECS、轻量应用服务器、非阿里云服务器及自建服务器。
部署至云产品:适用于阿里云的 SLB、CDN、WAF 等云产品(不含 ECS 和轻量应用服务器),以及腾讯云、华为云、AWS 等第三方云平台的 CDN、WAF、CLB 等云产品。
部署至服务器
请根据实际情况选择以下合适的方案,将证书部署至服务器中。
阿里云 ECS、轻量应用服务器
请根据实际使用的 Web 应用服务器以及操作系统选择合适的证书部署教程。若需确认 Web 服务器类型,可参考如何查看 Web 服务器类型。
部署国际标准 SSL 证书(RSA/ECC):
通过控制台自动部署
可将证书一键部署至指定的 ECS 可信实例,或将新证书自动更新至已配置证书的 ECS 或轻量应用服务器,以提升部署效率并降低配置风险。具体操作请参见部署 SSL 证书至 ECS/轻量应用服务器。
登录服务器部署
服务器操作系统
部署教程
Linux 系统
Windows 系统
部署国密标准 SSL 证书(SM2):
服务器操作系统
证书部署教程
适用品牌
Linux 系统
所有品牌
WoSign
WoSign
Windows 系统
WoSign
说明目前,阿里云仅提供 Tengine、Nginx、Apache 服务器国密标准证书的安装教程。不同版本的操作系统和 Web 服务器,部署操作可能有所差异。
非阿里云服务器
请根据实际使用的 Web 应用服务器以及操作系统选择合适的证书部署教程。若需确认 Web 服务器类型,可参考如何查看 Web 服务器类型。
部署国际标准 SSL 证书(RSA/ECC):
服务器操作系统
部署教程
Linux 系统
Windows 系统
部署国密标准 SSL 证书(SM2):
服务器操作系统
证书部署教程
适用品牌
Linux 系统
所有品牌
WoSign
WoSign
Windows 系统
WoSign
说明目前,阿里云仅提供 Tengine、Nginx、Apache 服务器国密标准证书的安装教程。不同版本的操作系统和 Web 服务器,部署操作可能有所差异。
部署至云产品
阿里云
部署国际标准 SSL 证书(RSA/ECC)
通过数字证书管理服务控制台部署
在以下场景中,可使用数字证书管理服务控制台提供的云产品部署功能,将证书一键推送到相关产品中,无需手动上传。具体操作请参见部署 SSL 证书至 SLB/CDN/WAF 等云产品。
说明若您使用的产品不在"云产品部署"功能支持的范围内,请参考该产品的文档进行部署。支持一键推送的产品见下方表格。
以下表格中的"更新已有证书"表示云产品已部署过证书,当前需要替换证书的场景。
云产品
部署任务适用场景
证书配置场景
云虚拟主机
首次部署证书、更新已有证书
HTTPS 加密访问网站场景
容器镜像服务 ACR
更新已有证书
HTTPS 域名访问容器镜像服务企业版实例场景
容器服务 Kubernetes 版本 ACK
更新已有证书
ACK 托管与专有集群中更新 AlbConfig 证书和 Secret 证书
重要请勿在容器服务 ACK 中手动修改 Secret,系统会自动创建新的 Secret。
Serverless 应用引擎-网关路由
更新已有证书
网关路由转发协议配置 HTTPS 场景(ALB 和 CLB)
函数计算 FC
更新已有证书
HTTP 函数场景
微服务引擎-云原生网关
更新已有证书
云原生网关路由场景
云原生 API 网关
更新已有证书
HTTPS 域名访问 API 场景
全球加速 GA
更新已有证书
HTTPS 域名安全加速访问场景
应用型负载均衡 ALB
网络型负载均衡 NLB
传统型负载均衡 CLB
更新已有证书
HTTPS 监听来转发来自 HTTPS 协议的请求的场景(服务器证书)
说明部署客户端证书,请参见部署客户端证书。
内容分发网络 CDN
首次部署证书、更新已有证书
HTTPS 安全加速场景
全站加速 DCDN
首次部署证书、更新已有证书
HTTPS 安全加速场景
边缘安全加速(ESA)
更新已有证书
HTTPS 安全加速场景
对象存储 OSS
更新已有证书
HTTPS 的方式访问 OSS 服务场景
说明绑定 CDN 加速域名,需在 CDN 控制台替换证书。
Web 应用防火墙(WAF)
更新已有证书
CNAME 接入场景
DDoS 高防
更新已有证书
DDoS 高防域名接入场景
视频直播
首次部署证书、更新已有证书
推/播流 HTTPS 安全加速场景
视频点播
首次部署证书、更新已有证书
分发加速场景
人工智能平台 PAI
更新已有证书
模型在线服务 EAS(Elastic Algorithm Service):专属网关使用自定义域名
通过云产品控制台部署
请在下表中找到对应的云产品后,参考相关文档一栏的文档前往云产品的控制台,根据指引完成后续的证书部署。
云产品
证书配置场景
相关文档
云虚拟主机
HTTPS 加密访问网站场景
容器镜像服务 ACR
HTTPS 域名访问容器镜像服务企业版实例场景
容器服务 Kubernetes 版本 ACK
ACK 托管与专有集群中更新 AlbConfig 证书和 Secret 证书
重要请勿在容器服务 ACK 中手动修改 Secret,系统会自动创建新的 Secret。
Serverless 应用引擎-网关路由
网关路由转发协议配置 HTTPS 场景(ALB 和 CLB)
函数计算 FC
HTTP 函数场景
微服务引擎-云原生网关
云原生网关路由场景
云原生 API 网关
HTTPS 域名访问 API 场景
全球加速 GA
HTTPS 域名安全加速访问场景
应用型负载均衡 ALB
网络型负载均衡 NLB
传统型负载均衡 CLB
HTTPS 监听来转发来自 HTTPS 协议的请求的场景(服务器证书)
说明部署客户端证书,请参见部署客户端证书。
应用型负载均衡ALB:配置 HTTPS 监听
网络型负载均衡NLB:NLB 添加 TCPSSL 监听
传统型负载均衡CLB:配置 HTTPS 监听
内容分发网络 CDN
HTTPS 安全加速场景
全站加速 DCDN
HTTPS 安全加速场景
边缘安全加速(ESA)
HTTPS 安全加速场景
对象存储 OSS
HTTPS 的方式访问 OSS 服务场景
说明绑定 CDN 加速域名,需在 CDN 控制台替换证书。
Web 应用防火墙(WAF)
CNAME 接入场景
WAF 3.0:添加域名及配置 HTTPS 证书
WAF 2.0:添加域名及配置 HTTPS 证书
DDoS 高防
DDoS 高防域名接入场景
视频直播
推/播流 HTTPS 安全加速场景
视频点播
分发加速场景
人工智能平台 PAI
模型在线服务 EAS(Elastic Algorithm Service):专属网关使用自定义域名
云·速成美站
HTTPS 加密访问网站场景
云·企业官网
HTTPS 加密访问网站场景
部署国密标准 SSL 证书(SM2,仅 CDN、DCDN 和 DDoS 防护产品支持)
内容分发网络 CDN:调用 SetCdnDomainSMCertificate 接口设置国密证书。
全站加速 DCDN:配置国密标准 SSL 证书。
DDoS 防护:配置国密标准 SSL 证书。
腾讯云、华为云和 AWS
通过数字证书管理服务控制台部署
使用阿里云数字证书管理服务控制台可将证书部署至第三方云平台。操作步骤请参见部署证书至三方云平台。支持的云平台和服务如下:
腾讯云:内容分发网络 CDN、Web 应用防火墙、负载均衡 CLB
AWS:Amazon CloudFront(CDN)、负载均衡(ALB、NLB 和 CLB)
华为云:内容分发网络 CDN、弹性负载均衡 ELB
参考云厂商官网文档部署
可参考以下云厂商的官方文档进行证书部署:
在客户端安装根证书
对于 IoT 设备、嵌入式系统、企业内部系统、离线 App、旧版本浏览器、Java 客户端等业务场景,一般不会预埋 CA 根证书。部署 SSL 证书后,客户端可能不信任该证书,需要手动下载根证书并安装至客户端。具体操作可参考在客户端安装根证书。
常见问题
如何下载根证书?
可参考下载和安装根证书,下载相关证书品牌的根证书。
证书链不完整、缺少中间证书时怎么办?
客户端的根证书和中间证书缺失或过期时,请参考如何解决网站SSL证书链不完整,下载安装缺失的根证书或中间证书后,重新尝试访问。
部署证书时提示"证书链中的一个或多个中间证书丢失"?
部分服务端系统部署 SSL 证书时(如 Windows 2008 R2 中的 IIS),可能会提示此错误。需在服务端安装缺失的根证书或中间证书。
如何查看 Web 服务器类型?
使用浏览器开发者工具查看
使用浏览器访问您的域名。
按 F12 打开开发者工具,查看服务器类型。
使用命令方式查看
登录服务器。
在服务器上执行以下命令查看 Web 服务器类型:
curl -I https://yourdomain说明yourdomain是必选参数,需替换为实际的网站域名,例如curl -I https://www.aliyundoc.com。参数-I(大写 i)表示仅获取响应头信息。查询结果示例如下:
HTTP/1.1 200 OK Server: nginx/1.24.0 Date: Thu, 15 May 2026 10:00:00 GMT Content-Type: text/html其中
Server字段的值即为 Web 服务器类型,示例中为 Nginx。
咨询网站搭建工程师
如果仍然查询不到 Web 服务器类型,请咨询网站搭建工程师。如果您遇到其他问题,请联系产品技术专家进行咨询,详情请参见专家一对一服务。
非国密 SSL 证书在国企场景下应参考国际版还是国密版部署文档?
应参考国际标准 SSL 证书(RSA/ECC)的部署教程。申请和使用的证书为非国密算法的国际标准 SSL 证书(如 RSA、ECC),无论企业性质如何,都应按照国际通用标准进行部署和配置。
SSL 证书签发成功后如何部署到 Web 服务器?
证书签发后,需根据 Web 服务器环境自行下载证书文件并部署。先确认服务器的具体 Web 环境类型,再选择对应的部署教程:
若为纯 Apache 环境,按照在 Apache 安装 SSL 证书(Linux)或在 Apache 安装 SSL 证书(Windows)的步骤完成部署。
若使用宝塔面板且面板上运行 Apache,可使用 Nginx 格式的证书文件,通过在宝塔面板安装 SSL 证书(Linux)完成部署。