部署SSL证书到阿里云产品_数字证书管理服务-阿里云帮助中心

SSL证书签发完成后，您可以通过数字证书管理服务将SSL证书部署阿里云产品，为您的业务网站提供可信身份认证和安全数据传输。本文介绍如何通过数字证书管理服务控制台部署SSL证书到阿里云产品。

背景信息

您可以将已签发的阿里云SSL证书（包括免费SSL证书、已上传的SSL证书和付费SSL证书）通过数字管理服务控制台部署到支持的阿里云产品，实现证书在阿里云产品上的快捷应用。

支持在数字证书管理服务控制台部署的阿里云产品

支持在数字证书管理服务控制台部署SSL证书的阿里云产品为Web应用防火墙（WAF）、云服务器ECS、负载均衡SLB、内容分发网络CDN、对象存储OSS、全站加速DCDN、视频直播、DDoS高防、API网关、视频点播、函数计算FC、全球加速GA、安全加速SCDN、云原生网关、容器镜像服务ACR、云虚拟主机、Serverless应用引擎SAE。具体部署操作，请参见部署证书到云服务器ECS和部署证书到其他支持的阿里云产品。

说明

部署上传的阿里云证书，您需要付费（30元/次）。具体计费信息，请参见计费概述。

部署SSL证书时，如遇到问题，请联系产品技术专家进行咨询，详情请参见专家一对一服务。

不支持在数字证书管理服务控制台部署的阿里云产品

如果您的阿里云产品不在数字管理服务控制台支持部署的范围内或需要部署国密证书，请您联系阿里云产品对应的商务经理咨询或参考对应的阿里云产品帮助文档部署。

以下为您列举部分云产品部署SSL证书的操作指导，供您参考。

说明

目前，支持国密证书部署的的阿里云云产品为CDN、DCDN、DDoS 防护。

云产品	相关文档
云·速成美站	域名HTTPS
云·企业官网	域名HTTPS
轻量应用服务器	启用HTTPS加密访问
CDN	调用SetCdnDomainSMCertificate接口设置国密证书
全站加速 DCDN	配置国密HTTPS
DDoS 防护	上传HTTPS证书

前提条件

已完成SSL证书签发。
- 您可以通过阿里云数字证书管理服务控制台购买并申请SSL证书。具体操作，请参见购买SSL证书和申请SSL证书。
- 您可以通过第三方平台或其他阿里云账号获取签发后SSL证书，并上传SSL到阿里云数字证书管理服务控制台。上传SSL证书的具体操作，请参见上传和共享SSL证书。
重要
购买SSL证书时，请确保SSL证书绑定的域名包含在阿里云产品中配置的域名，否则将无法部署。

已开通需要部署SSL证书的阿里云产品。

首次部署SSL证书到云服务器 ECS（Elastic Compute Service）中的Web应用服务器（例如Nginx、Apache）时，您需要在ECS完成云助手客户端安装，并且云助手客户端不低于1.0.2.569（Linux）或1.0.0.149（Windows）。

首次部署SSL证书到其他阿里云产品（除ECS）时，您需要在对应的云产品控制台完成HTTPS等SSL证书相关配置，如遇到问题，请咨询对应云产品的商务经理。

查看云产品配置SSL证书的相关文档

云产品	相关文档
Web应用防火墙(WAF)	WAF 3.0：接入管理概述 WAF 2.0：使用教程
负载均衡SLB	传统型负载均衡CLB（原SLB）：添加HTTPS监听应用型负载均衡ALB：添加HTTPS监听网络型负载均衡NLB：NLB添加TCPSSL监听说明如果CLB、ALB中配置了HTTPS双向认证的监听，您只能通过数字证书管理服务控制台部署服务端证书，对于客户端证书您需要在负载均衡控制台完成部署。部署客户端证书的具体操作，请参见使用CLB部署HTTPS业务（双向认证）。
内容分发网络(CDN)	添加加速域名
对象存储OSS	证书托管
视频直播	域名管理
DDoS高防	添加网站配置
API网关	API安全
视频点播	HTTPS安全加速
函数计算	配置自定义域名
全球加速	HTTPS安全加速访问HTTP网站
安全加速	无
云原生网关	关联域名
容器镜像服务	通过自定义域名访问容器镜像服务企业版实例
云虚拟主机	开启HTTPS加密访问
Serverless应用引擎	如何给SAE部署HTTP或HTTPS服务，并通过SLB访问？为应用配置网关路由（ALB）为应用配置网关路由（CLB）

部署证书到云服务器ECS

本文以Nginx 1.20.1、阿里云云服务器 ECS的Linux系统镜像为例，为您介绍如何部署SSL证书到云服务器 ECS搭建的Web应用服务器。

重要

由于操作系统或Web应用服务器版本不同，您在操作过程中使用的命令可能会略有区别。如有问题，请联系产品技术专家进行咨询，详情请参见专家一对一服务。

首次部署SSL证书时，您需要登录云服务器ECS，执行以下命令，在Nginx安装目录下创建一个用于存放证书的目录。
```
cd /etc/nginx/conf.d #使用yum安装Nginx的默认安装目录。如果您是通过其他方式安装Nginx或修改过默认安装目录，请根据实际配置调整。
mkdir cert #创建证书目录，命名为cert。
```
重要
在数字证书管理服务控制台部署SSL证书时，您需填写证书相关文件的路径，请您记录好存放证书文件的路径。
登录数字证书管理服务控制台。
在左侧导航栏，单击SSL 证书。
在证书管理页签，选择已签发的证书，定位到要部署的SSL证书，在操作列，单击部署。
不同类型证书的部署操作相同，本文以部署付费版SSL证书为例进行介绍。
首次部署SSL证书时，会提示您无权进行部署操作，请您单击确定，在RAM控制台授权数字证书管理服务访问您的云产品。
可选：如果数字证书管理服务控制台提示您私钥不存在，您需要执行以下步骤上传私钥。
说明
证书私钥不存在可能是因为您在申请对应证书时，选择的已有CSR未上传私钥或手动填写的CSR是使用第三方工具生成的（数字证书管理服务未匹配到该CSR对应的私钥）。您需要先上传证书私钥，才能部署对应证书到阿里云产品。
1. 在SSL 证书页面，定位到您需要部署的证书，在操作列，选择 > 上传私钥。
2. 在上传私钥对话框，填写证书私钥内容，单击确定。
  您可以使用文本编辑工具打开KEY格式的证书私钥文件，复制其中的内容并粘贴到该文本框，或者单击该文本框下的上传并选择存储在本地计算机的证书私钥文件，将文件内容上传到文本框。
在资源列表区域，选择云服务器ECS及所在地域，并在目标实例操作列，单击部署。
重要
首次部署SSL证书时，数字证书管理服务会自动识别并拉取符合条件的云产品中的资源，资源加载需要一定时间，请您耐心等待。如果您的域名列表在资源加载一段时间后仍然为空，请确认是否在对应云产品中配置了当前SSL证书包含的网站域名，并且该域名是否满足所选择的地域和部署状态。如仍有问题，请联系产品技术专家进行咨询，详情请参见专家一对一服务。
数字证书管理服务控制台不支持批量在多台云服务器ECS上部署证书。

在路径编辑对话框，配置相关参数，单击确定。

您在配置时，需要将下表中的配置示例替换成云服务器ECS中的实际路径。部署成功后，对应域名的部署状态变更为重新部署。

重要

在数字证书管理服务控制台重新部署证书时，需确保证书名称、私钥名称、证书链名称，与nginx.conf配置文件一致，否则会部署失败。

配置项	描述	配置示例
证书路径	设置证书文件存放在云服务器ECS中的绝对路径。	/etc/nginx/conf.d/cert/cert.pem
私钥路径	设置证书私钥文件存放在云服务器ECS中的绝对路径。	/etc/nginx/conf.d/cert/cert.key
证书链路径	设置证书链文件存放在云服务器ECS中的绝对路径。	/etc/nginx/conf.d/cert/chain.crt
重启命令	设置重启或重新加载云服务器ECS中配置证书的Web应用的命令。配置重启命令后，数字证书管理服务会帮您将证书直接部署到云服务器ECS上，并可以自动执行您配置的重启命令重启云服务器ECS，无需您手动下载并上传证书。如果未配置重启命令，部署完成后您需要手动重启云服务器ECS或对应的Web应用。	`nginx -s reload` 重要如果您是通过编译安装的Nginx，使用`nginx -s reload`命令前，您需要将Nginx设置为系统服务。

首次部署SSL证书时，您需要编辑Nginx配置文件nginx.conf，修改证书相关配置。

执行以下命令，打开配置文件。
```
vim /etc/nginx/nginx.conf
```
在nginx.conf中定位到server属性配置。

删除行首注释符号#，并参考以下配置示例进行修改。

server {
        #HTTPS的默认访问端口443
        #如果未在此处配置HTTPS的默认访问端口，可能会造成Nginx无法启动。
        listen 443 ssl;
        #填写证书绑定的域名
        server_name <yourdomain>;		
        
        #填写证书文件路径
        ssl_certificate      "etc/nginx/conf.d/cert/cert.pem";
        #填写证书私钥文件路径 
        ssl_certificate_key  "etc/nginx/conf.d/cert/cert.key";
 
        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;
		
        #默认加密套件
        ssl_ciphers  HIGH:!aNULL:!MD5;
		
        #自定义设置使用的TLS协议的类型以及加密套件（以下为配置示例，请您自行评估是否需要配置）
        #TLS协议版本越高，HTTPS通信的安全性越高，但是相较于低版本TLS协议，高版本TLS协议对浏览器的兼容性较差。
        #ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        #ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
		
        #表示优先使用服务端加密套件。默认开启
        ssl_prefer_server_ciphers  on;
 
        location / {
            root   html;
            index  index.html index.htm;
        }
    }
}

执行以下命令，重新加载Nginx配置文件。
```
nginx -s reload
```
证书安装完成后，您可通过访问证书的绑定域名验证该证书是否安装成功。
```
https://yourdomain   #需要将yourdomain替换成证书绑定的域名。
```
如果网页地址栏出现小锁标志，表示证书已经安装成功。

部署证书到其他支持的阿里云产品

登录数字证书管理服务控制台。
在左侧导航栏，单击SSL 证书。
在证书管理页签，选择已签发的证书，定位到要部署的SSL证书，在操作列，单击部署。
不同类型证书的部署操作相同，本文以部署付费版SSL证书为例进行介绍。
首次部署SSL证书时，会提示您无权进行部署操作，请您单击确定，在RAM控制台授权数字证书管理服务访问您的云产品。
可选：如果数字证书管理服务控制台提示您私钥不存在，您需要执行以下步骤上传私钥。
说明
证书私钥不存在可能是因为您在申请对应证书时，选择的已有CSR未上传私钥或手动填写的CSR是使用第三方工具生成的（数字证书管理服务未匹配到该CSR对应的私钥）。您需要先上传证书私钥，才能部署对应证书到阿里云产品。
1. 在SSL 证书页面，定位到您需要部署的证书，在操作列，选择 > 上传私钥。
2. 在上传私钥对话框，填写证书私钥内容，单击确定。
  您可以使用文本编辑工具打开KEY格式的证书私钥文件，复制其中的内容并粘贴到该文本框，或者单击该文本框下的上传并选择存储在本地计算机的证书私钥文件，将文件内容上传到文本框。
在资源列表区域，选择您的阿里云产品及所在地域，并在目标实例操作列，单击部署。
重要
首次部署SSL证书时，数字证书管理服务会自动识别并拉取符合条件的云产品中的资源，资源加载需要一定时间，请您耐心等待。如果您的域名列表在资源加载一段时间后仍然为空，请确认是否在对应云产品中配置了当前SSL证书包含的网站域名，并且该域名是否满足所选择的地域和部署状态。如仍有问题，请联系产品技术专家进行咨询，详情请参见专家一对一服务。
数字证书管理服务支持一次性部署多个域名和跨产品批量部署证书，您可以选择多个域名或多个产品，在右侧待部署列表面板，单击全部部署。
部署成功后，您可以返回证书管理页签，在该证书已部署列，查看已部署该证书的阿里云产品。
说明
部署完成后，可能会因为网络原因导致SSL证书延迟生效，请您耐心等待。如仍有问题，请联系产品技术专家进行咨询，详情请参见专家一对一服务。

到期自动部署

如果您为已在数字管理服务控制台部署的证书开启了托管服务，建议您也为该证书开启到期自动部署。同时开启托管和到期自动部署后，数字证书管理服务会在该证书到期前30天或15天内自动提交证书申请，待新证书签发后自动将新证书部署到对应的阿里云产品中。具体操作，请参见开启到期自动部署。

如果您没有为证书开启托管服务，则必须在证书到期前通过续费购买手动更新证书，并手动将更新后的证书重新部署到对应的阿里云产品，才能继续使用证书。具体操作，请参见SSL证书续费。