部署SSL证书到阿里云产品

更新时间: 2023-09-06 16:14:18

SSL证书签发完成后,您可以通过数字证书管理服务将SSL证书部署阿里云产品,为您的业务网站提供可信身份认证和安全数据传输。本文介绍如何通过数字证书管理服务控制台部署SSL证书到阿里云产品。

背景信息

您可以将已签发的阿里云SSL证书(包括免费SSL证书、已上传的SSL证书和付费SSL证书)通过数字管理服务控制台部署到支持的阿里云产品,实现证书在阿里云产品上的快捷应用。

支持在数字证书管服务控制台部署的阿里云产品

支持在数字证书管理服务控制台部署SSL证书的阿里云产品为Web应用防火墙(WAF)云服务器ECS负载均衡SLB内容分发网络CDN对象存储OSS全站加速DCDN视频直播DDoS高防API网关视频点播函数计算FC全球加速GA安全加速SCDN云原生网关容器镜像服务ACR云虚拟主机Serverless应用引擎SAE具体部署操作,请参见部署证书到云服务器ECS部署证书到其他支持的阿里云产品

说明

部署上传的阿里云证书,您需要付费(30元/次)。具体计费信息,请参见计费概述

部署SSL证书时,如遇到问题,请联系产品技术专家进行咨询,详情请参见专家一对一服务

不支持在数字证书管理服务控制台部署的阿里云产品

前提条件

部署证书到云服务器ECS

本文以Nginx 1.20.1、阿里云云服务器 ECS的Linux系统镜像为例,为您介绍如何部署SSL证书到云服务器 ECS搭建的Web应用服务器。

重要

由于操作系统或Web应用服务器版本不同,您在操作过程中使用的命令可能会略有区别。如有问题,请联系产品技术专家进行咨询,详情请参见专家一对一服务

  1. 首次部署SSL证书时,您需要登录云服务器ECS,执行以下命令,在Nginx安装目录下创建一个用于存放证书的目录。

    cd /etc/nginx/conf.d #使用yum安装Nginx的默认安装目录。如果您是通过其他方式安装Nginx或修改过默认安装目录,请根据实际配置调整。
    mkdir cert #创建证书目录,命名为cert。
    重要

    在数字证书管理服务控制台部署SSL证书时,您需填写证书相关文件的路径,请您记录好存放证书文件的路径。

  2. 登录数字证书管理服务控制台

  3. 在左侧导航栏,单击SSL 证书

  4. 证书管理页签,选择已签发的证书,定位到要部署的SSL证书,在操作列,单击部署

    不同类型证书的部署操作相同,本文以部署付费版SSL证书为例进行介绍。

    image..png

    首次部署SSL证书时,会提示您无权进行部署操作,请您单击确定,在RAM控制台授权数字证书管理服务访问您的云产品。

  5. 可选:如果数字证书管理服务控制台提示您私钥不存在,您需要执行以下步骤上传私钥。

    image.png
    说明

    证书私钥不存在可能是因为您在申请对应证书时,选择的已有CSR未上传私钥或手动填写的CSR是使用第三方工具生成的(数字证书管理服务未匹配到该CSR对应的私钥)。您需要先上传证书私钥,才能部署对应证书到阿里云产品。

    1. SSL 证书页面,定位到您需要部署的证书,在操作列,选择更多 > 上传私钥

    2. 上传私钥对话框,填写证书私钥内容,单击确定

      您可以使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传并选择存储在本地计算机的证书私钥文件,将文件内容上传到文本框。

  6. 资源列表区域,选择云服务器ECS及所在地域,并在目标实例操作列,单击部署

    重要

    首次部署SSL证书时,数字证书管理服务会自动识别并拉取符合条件的云产品中的资源,资源加载需要一定时间,请您耐心等待。如果您的域名列表在资源加载一段时间后仍然为空,请确认是否在对应云产品中配置了当前SSL证书包含的网站域名,并且该域名是否满足所选择的地域和部署状态。如仍有问题,请联系产品技术专家进行咨询,详情请参见专家一对一服务

    数字证书管理服务控制台不支持批量在多台云服务器ECS上部署证书。

    image..png
  7. 路径编辑对话框,配置相关参数,单击确定

    您在配置时,需要将下表中的配置示例替换成云服务器ECS中的实际路径。部署成功后,对应域名的部署状态变更为重新部署

    重要

    在数字证书管理服务控制台重新部署证书时,需确保证书名称、私钥名称、证书链名称,与nginx.conf配置文件一致,否则会部署失败。

    配置项

    描述

    配置示例

    证书路径

    设置证书文件存放在云服务器ECS中的绝对路径。

    /etc/nginx/conf.d/cert/cert.pem

    私钥路径

    设置证书私钥文件存放在云服务器ECS中的绝对路径。

    /etc/nginx/conf.d/cert/cert.key

    证书链路径

    设置证书链文件存放在云服务器ECS中的绝对路径。

    /etc/nginx/conf.d/cert/chain.crt

    重启命令

    设置重启或重新加载云服务器ECS中配置证书的Web应用的命令。配置重启命令后,数字证书管理服务会帮您将证书直接部署到云服务器ECS上,并可以自动执行您配置的重启命令重启云服务器ECS,无需您手动下载并上传证书。如果未配置重启命令,部署完成后您需要手动重启云服务器ECS或对应的Web应用。

    nginx -s reload

    重要

    如果您是通过编译安装的Nginx,使用nginx -s reload命令前,您需要将Nginx设置为系统服务。

  8. 首次部署SSL证书时,您需要编辑Nginx配置文件nginx.conf,修改证书相关配置。

    1. 执行以下命令,打开配置文件。

      vim /etc/nginx/nginx.conf
    2. 在nginx.conf中定位到server属性配置。

      image.png
    3. 删除行首注释符号#,并参考以下配置示例进行修改。

      server {
              #HTTPS的默认访问端口443
              #如果未在此处配置HTTPS的默认访问端口,可能会造成Nginx无法启动。
              listen 443 ssl;
              #填写证书绑定的域名
              server_name <yourdomain>;		
              
              #填写证书文件路径
              ssl_certificate      "etc/nginx/conf.d/cert/cert.pem";
              #填写证书私钥文件路径 
              ssl_certificate_key  "etc/nginx/conf.d/cert/cert.key";
       
              ssl_session_cache    shared:SSL:1m;
              ssl_session_timeout  5m;
      		
              #默认加密套件
              ssl_ciphers  HIGH:!aNULL:!MD5;
      		
              #自定义设置使用的TLS协议的类型以及加密套件(以下为配置示例,请您自行评估是否需要配置)
              #TLS协议版本越高,HTTPS通信的安全性越高,但是相较于低版本TLS协议,高版本TLS协议对浏览器的兼容性较差。
              #ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
              #ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
      		
              #表示优先使用服务端加密套件。默认开启
              ssl_prefer_server_ciphers  on;
       
              location / {
                  root   html;
                  index  index.html index.htm;
              }
          }
      }
  9. 执行以下命令,重新加载Nginx配置文件。

    nginx -s reload

    证书安装完成后,您可通过访问证书的绑定域名验证该证书是否安装成功。

    https://yourdomain   #需要将yourdomain替换成证书绑定的域名。

    如果网页地址栏出现小锁标志,表示证书已经安装成功。

    image..png

部署证书到其他支持的阿里云产品

  1. 登录数字证书管理服务控制台

  2. 在左侧导航栏,单击SSL 证书

  3. 证书管理页签,选择已签发的证书,定位到要部署的SSL证书,在操作列,单击部署

    不同类型证书的部署操作相同,本文以部署付费版SSL证书为例进行介绍。

    image..png

    首次部署SSL证书时,会提示您无权进行部署操作,请您单击确定,在RAM控制台授权数字证书管理服务访问您的云产品。

  4. 可选:如果数字证书管理服务控制台提示您私钥不存在,您需要执行以下步骤上传私钥。

    image.png
    说明

    证书私钥不存在可能是因为您在申请对应证书时,选择的已有CSR未上传私钥或手动填写的CSR是使用第三方工具生成的(数字证书管理服务未匹配到该CSR对应的私钥)。您需要先上传证书私钥,才能部署对应证书到阿里云产品。

    1. SSL 证书页面,定位到您需要部署的证书,在操作列,选择更多 > 上传私钥

    2. 上传私钥对话框,填写证书私钥内容,单击确定

      您可以使用文本编辑工具打开KEY格式的证书私钥文件,复制其中的内容并粘贴到该文本框,或者单击该文本框下的上传并选择存储在本地计算机的证书私钥文件,将文件内容上传到文本框。

  5. 资源列表区域,选择您的阿里云产品及所在地域,并在目标实例操作列,单击部署

    重要

    首次部署SSL证书时,数字证书管理服务会自动识别并拉取符合条件的云产品中的资源,资源加载需要一定时间,请您耐心等待。如果您的域名列表在资源加载一段时间后仍然为空,请确认是否在对应云产品中配置了当前SSL证书包含的网站域名,并且该域名是否满足所选择的地域和部署状态。如仍有问题,请联系产品技术专家进行咨询,详情请参见专家一对一服务

    数字证书管理服务支持一次性部署多个域名和跨产品批量部署证书,您可以选择多个域名或多个产品,在右侧待部署列表面板,单击全部部署

    部署成功后,您可以返回证书管理页签,在该证书已部署列,查看已部署该证书的阿里云产品。

    说明

    部署完成后,可能会因为网络原因导致SSL证书延迟生效,请您耐心等待。如仍有问题,请联系产品技术专家进行咨询,详情请参见专家一对一服务

到期自动部署

如果您为已在数字管理服务控制台部署的证书开启了托管服务,建议您也为该证书开启到期自动部署。同时开启托管和到期自动部署后,数字证书管理服务会在该证书到期前30天或15天内自动提交证书申请,待新证书签发后自动将新证书部署到对应的阿里云产品中。具体操作,请参见开启到期自动部署

如果您没有为证书开启托管服务,则必须在证书到期前通过续费购买手动更新证书,并手动将更新后的证书重新部署到对应的阿里云产品,才能继续使用证书。具体操作,请参见SSL证书续费

阿里云首页 数字证书管理服务 相关技术圈