部署SSL证书到阿里云产品
SSL证书签发完成后,您可以通过数字证书管理服务将SSL证书部署阿里云产品,为您的业务网站提供可信身份认证和安全数据传输。本文介绍如何通过数字证书管理服务控制台部署SSL证书到阿里云产品。
背景信息
您可以将已签发的阿里云SSL证书(包括免费SSL证书、已上传的SSL证书和付费SSL证书)通过数字管理服务控制台部署到支持的阿里云产品,实现证书在阿里云产品上的快捷应用。
支持在数字证书管理服务控制台部署的阿里云产品
支持在数字证书管理服务控制台部署SSL证书的阿里云产品为Web应用防火墙(WAF)、云服务器ECS、负载均衡SLB、内容分发网络CDN、对象存储OSS、全站加速DCDN、视频直播、DDoS高防、API网关、视频点播、函数计算FC、全球加速GA、安全加速SCDN、云原生网关、容器镜像服务ACR、云虚拟主机、Serverless应用引擎SAE、轻量应用服务器。具体部署操作,请参见部署证书到云服务器ECS或轻量应用服务器和部署证书到其他支持的阿里云产品。
不支持在数字证书管理服务控制台部署的阿里云产品
如果您的阿里云产品不在数字管理服务控制台支持部署的范围内或需要部署国密证书,请您联系阿里云产品对应的商务经理咨询或参考对应的阿里云产品帮助文档部署。
以下为您列举部分云产品部署SSL证书的操作指导,供您参考。
说明目前,支持国密证书部署的阿里云产品为CDN、DCDN、DDoS 防护。
云产品
相关文档
云·速成美站
云·企业官网
CDN(国密证书)
全站加速 DCDN(国密证书)
DDoS 防护(国密证书)
前提条件
已完成SSL证书签发。
您可以通过第三方平台或其他阿里云账号获取签发后SSL证书,并上传SSL到阿里云数字证书管理服务控制台。上传SSL证书的具体操作,请参见上传和共享SSL证书。
已开通需要部署SSL证书的阿里云产品。
首次部署SSL证书到云服务器 ECS(Elastic Compute Service)中的Web应用服务器(例如Nginx、Apache)时,您需要在ECS完成云助手客户端安装,并且云助手客户端不低于1.0.2.569(Linux)或1.0.0.149(Windows)。
首次部署SSL证书到其他阿里云产品(除ECS)时,您需要在对应的云产品控制台完成HTTPS等SSL证书相关配置,如遇到问题,请咨询对应云产品的商务经理或使用专家一对一服务。
部署证书到云服务器ECS或轻量应用服务器
部署证书到云服务器ECS或轻量应用服务器,即将证书部署到云服务器ECS或轻量应用服务器上的Web应用服务器(例如Nginx、Tomcat等)。建议您在首次部署证书参考安装证书到Web应用服务器文档。当您更新证书时,您可以通过数字证书管理服务控制台快捷部署。
本文以云服务器 ECS、轻量应用服务器的Linux系统镜像、Nginx 1.20.1为例,为您介绍通过数字证书管理服务控制台部署证书流程。
由于操作系统、Web应用服务器以及版本差异,您在操作过程中使用的命令可能会有区别。如有问题,请联系产品技术专家进行咨询,详情请参见专家一对一服务。
首次部署SSL证书时,您需要登录云服务器ECS或轻量应用服务器,并执行以下命令,在Nginx安装目录下创建一个用于存放证书的目录。
cd /etc/nginx/conf.d #使用yum安装Nginx的默认安装目录。如果您是通过其他方式安装Nginx或修改过默认安装目录,请根据实际配置调整。 mkdir cert #创建证书目录,命名为cert。重要在数字证书管理服务控制台部署SSL证书时,您需填写证书相关文件的路径,请您记录好存放证书文件的路径。
登录数字证书管理服务控制台。
在左侧导航栏,单击SSL 证书。
在证书管理页签,选择已签发的证书,定位到要部署的SSL证书,在操作列,单击部署。
不同类型证书的部署操作相同,本文以部署付费版SSL证书为例进行介绍。
首次部署SSL证书时,会提示您无权进行部署操作,请您单击确定,在RAM控制台授权数字证书管理服务访问您的云产品。
可选:如果数字证书管理服务控制台提示您私钥不存在,您需要执行以下步骤上传私钥。
说明证书私钥不存在可能是因为您在申请对应证书时,选择的已有CSR未上传私钥或手动填写的CSR是使用第三方工具生成的(数字证书管理服务未匹配到该CSR对应的私钥)。您需要先上传证书私钥,才能部署对应证书到阿里云产品。
在SSL 证书页面,定位到您需要部署的证书,在操作列,选择
> 上传私钥。在上传私钥对话框,填写证书私钥内容,单击确定。
您可以使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传并选择存储在本地计算机的证书私钥文件,将文件内容上传到文本框。
在资源列表区域,选择云服务器ECS或轻量应用服务器及所在地域,并在目标实例操作列,单击部署。
数字证书管理服务控制台不支持批量在多台云服务器上部署证书。
重要部署SSL证书时,数字证书管理服务会自动识别并拉取符合条件的云产品中的资源,资源加载大约5~20分钟,请您耐心等待。
如果您的域名列表在资源加载一段时间后仍然为空,请您确认是否在对应云产品中配置了当前SSL证书包含的网站域名,并且该域名是否满足所选择的地域和部署状态。
由于受到不同云产品版本、网络环境、缓存时延、证书匹配规则等因素的影响,数字证书管理服务控制台拉取的资源可能和对应云产品实际资源有所差异,请以对应云产品资源显示为准。如果遇到资源展示不全的情况,请您前往相应的云产品控制台部署证书。
如有任何疑问,请联系产品技术专家进行咨询,详情请参见专家一对一服务。
在路径编辑对话框,配置相关参数,单击确定。
您在配置时,需要将下表中的配置示例替换成证书实际所在路径。部署成功后,对应域名的部署状态变更为重新部署。
重要在数字证书管理服务控制台重新部署证书时,需确保证书名称、私钥名称、证书链名称,与nginx.conf配置文件一致,否则会部署失败。
配置项
描述
配置示例
证书路径
设置证书文件存放在服务器中的绝对路径。
/etc/nginx/conf.d/cert/cert.pem
私钥路径
设置证书私钥文件存放在服务器中的绝对路径。
/etc/nginx/conf.d/cert/cert.key
证书链路径
设置证书链文件存放在服务器中的绝对路径。
/etc/nginx/conf.d/cert/chain.crt
重启命令
设置重启或重新加载服务器中配置证书的Web应用的命令。配置重启命令后,数字证书管理服务会帮您将证书直接部署到Web应用服务器上,并可以自动执行您配置的重启命令重启Web应用服务器,无需您手动下载并上传证书。如果未配置重启命令,部署完成后您需要手动重启对应的Web应用服务器。
nginx -s reload重要如果您是通过编译安装的Nginx,使用
nginx -s reload命令前,您需要将Nginx设置为系统服务。首次部署SSL证书时,您需要编辑Nginx配置文件nginx.conf,修改证书相关配置。
执行以下命令,打开配置文件。
vim /etc/nginx/nginx.conf在nginx.conf中定位到server属性配置。
删除行首注释符号#,并参考以下配置示例进行修改。
server { #HTTPS的默认访问端口443 #如果未在此处配置HTTPS的默认访问端口,可能会造成Nginx无法启动。 listen 443 ssl; #填写证书绑定的域名 server_name <yourdomain>; #填写证书文件绝对路径 ssl_certificate "/etc/nginx/conf.d/cert/cert.pem"; #填写证书私钥文件绝对路径 ssl_certificate_key "/etc/nginx/conf.d/cert/cert.key"; ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; #默认加密套件 ssl_ciphers HIGH:!aNULL:!MD5; #自定义设置使用的TLS协议的类型以及加密套件(以下为配置示例,请您自行评估是否需要配置) #TLS协议版本越高,HTTPS通信的安全性越高,但是相较于低版本TLS协议,高版本TLS协议对浏览器的兼容性较差。 #ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4; #ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3; #表示优先使用服务端加密套件。默认开启 ssl_prefer_server_ciphers on; location / { root html; index index.html index.htm; } } }
执行以下命令,重新加载Nginx配置文件。
nginx -s reload证书安装完成后,您可通过访问证书的绑定域名验证该证书是否安装成功。
https://yourdomain #需要将yourdomain替换成证书绑定的域名。如果网页地址栏出现小锁标志,表示证书已经安装成功。
部署证书到其他支持的阿里云产品
登录数字证书管理服务控制台。
在左侧导航栏,单击SSL 证书。
在证书管理页签,选择已签发的证书,定位到要部署的SSL证书,在操作列,单击部署。
不同类型证书的部署操作相同,本文以部署付费版SSL证书为例进行介绍。
首次部署SSL证书时,会提示您无权进行部署操作,请您单击确定,在RAM控制台授权数字证书管理服务访问您的云产品。
可选:如果数字证书管理服务控制台提示您私钥不存在,您需要执行以下步骤上传私钥。
说明证书私钥不存在可能是因为您在申请对应证书时,选择的已有CSR未上传私钥或手动填写的CSR是使用第三方工具生成的(数字证书管理服务未匹配到该CSR对应的私钥)。您需要先上传证书私钥,才能部署对应证书到阿里云产品。
在SSL 证书页面,定位到您需要部署的证书,在操作列,选择
> 上传私钥。在上传私钥对话框,填写证书私钥内容,单击确定。
您可以使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传并选择存储在本地计算机的证书私钥文件,将文件内容上传到文本框。
在资源列表区域,选择您的阿里云产品及所在地域,并在目标实例操作列,单击部署。
重要部署SSL证书时,数字证书管理服务会自动识别并拉取符合条件的云产品中的资源,资源加载大约5~20分钟,请您耐心等待。
如果您的域名列表在资源加载一段时间后仍然为空,请您确认是否在对应云产品中配置了当前SSL证书包含的网站域名,并且该域名是否满足所选择的地域和部署状态。
由于受到不同云产品版本、网络环境、缓存时延、证书匹配规则等因素的影响,数字证书管理服务控制台拉取的资源可能和对应云产品实际资源有所差异,请以对应云产品资源显示为准。如果遇到资源展示不全的情况,请您前往相应的云产品控制台部署证书。
如有任何疑问,请联系产品技术专家进行咨询,详情请参见专家一对一服务。
数字证书管理服务支持一次性部署多个域名和跨产品批量部署证书,您可以选择多个域名或多个产品,在右侧待部署列表面板,单击全部部署。
部署成功后,您可以返回证书管理页签,在该证书已部署列,查看已部署该证书的阿里云产品。
说明部署完成后,可能会因为网络原因导致SSL证书延迟生效,请您耐心等待。如仍有问题,请联系产品技术专家进行咨询,详情请参见专家一对一服务。
到期自动部署
如果您为已在数字管理服务控制台部署的证书开启了托管服务,建议您也为该证书开启到期自动部署。同时开启托管和到期自动部署后,数字证书管理服务会在该证书到期前30天或15天内自动提交证书申请,待新证书签发后自动将新证书部署到对应的阿里云产品中。具体操作,请参见开启到期自动部署。
如果您没有为证书开启托管服务,则必须在证书到期前通过续费购买手动更新证书,并手动将更新后的证书重新部署到对应的阿里云产品,才能继续使用证书。具体操作,请参见SSL证书续费。
