文档

WordPress环境上安装SSL证书

更新时间:

如果您的轻量应用服务器已绑定了域名,可以为域名配置HTTPS加密访问,以较低的成本将数据传输协议从HTTP转换成HTTPS,实现网站的身份验证和数据加密传输,防止数据在传输过程中被篡改,信息泄露。本文以使用WordPress 5.6.2的轻量应用服务器为例,介绍在服务器中安装SSL证书,并开启HTTPS加密访问。

前提条件

背景信息

通过数字证书管理服务(Certificate Management Service)完成证书购买、申请,并将证书部署到您的Web服务器后,Web服务将会通过HTTPS加密协议来传输数据。HTTPS加密传输协议可激活客户端浏览器到网站服务器之间的SSL加密通道(SSL协议),从而实现高强度单向加密传输,防止传输数据被泄露或篡改。HTTPS加密传输为手机APP、小程序应用、代码程序、控件等上线应用市场或应用生态必备特征。HTTPS加密传输可为网站带来以下优势:

  • 安全合规:满足对应App市场或应用生态的要求。

  • 加密传输网络数据:加密网站用户与网站间的数据通信,实现传输数据的防劫持、防篡改、防监听,保障数据传输安全。

  • 提升网站安全性:规避钓鱼事件发生。网站用户在访问网站时浏览器提示安全可信,可以提升网站的可信度、访问流量和搜索排名。

步骤一:申请SSL证书

阿里云支持申请免费证书、付费证书或者在其他服务商申请的证书均可。免费证书建议用于测试、个人试用等场景,org、jp等特殊域名存在无法申请的情况,正式环境建议使用付费证书,本步骤以申请免费证书为例。如果您需要申请付费证书,具体操作,请参见购买SSL证书

领取免费证书额度

每个阿里云个人或企业用户(以实名认证为准)每个自然年可以一次性申请20张免费证书(每个自然年仅限领取1次)自然年是每年的01月01日~12月31日,免费领取的证书资源包在每个自然年末将未申请的额度清零(每年12月31日24:00:00),您需要等到第二年的1月1日00:00:00后申请领取当年的免费证书资源包。更多关于免费证书适用场景、领取规则和使用限制说明,请参见免费SSL证书概述

说明

如果一个自然年内20张免费证书的额度已用完,您可以购买付费SSL证书、升级12个月有效期的SSL证书或使用HTTPS加速网关,以获得更长的证书服务时间、更高的安全等级以及技术服务支持。具体操作,请参见购买SSL证书免费版SSL证书升级指南

  1. 访问免费证书购买页

  2. 保持默认配置,单击立即购买并完成支付。

提交免费证书申请

  1. 登录数字证书管理服务控制台

  2. 在左侧导航栏,选择证书管理 > SSL证书管理

  3. SSL证书页面的免费证书页签,单击创建证书

  4. 证书申请面板,按照下表配置证书参数,选中快捷签发,并单击提交审核

    配置项

    说明

    证书类型

    选择默认证书

    证书剩余数量/总数

    表示剩余可申请的证书个数/总共可申请的证书个数。只有当剩余可申请的证书个数不为0时,您才可以创建证书。

    域名名称

    填写轻量服务器绑定的域名。此处只可以填写一个单域名,例如aliyundoc.com

    数量

    证书申请数量,默认为1,不支持增加。

    快捷签发

    域名验证方式

    • 如果您当前的阿里云账号与域名的DNS云解析服务所在账号一致,申请SSL证书时,阿里云数字证书管理服务将会自动识别,并默认选择自动DNS验证方式,且不支持修改,提交审核后,系统会自动进行DNS验证,您仅需等待证书签发即可。

    • 如果您当前的阿里云账号与域名的DNS云解析服务所在账号不一致,您可以选择以下任意一种方式进行域名所有权验证。

      • 手工DNS验证:您需要手动在对应的DNS域名解析服务商,添加一条TXT类型的解析记录用于域名所有权验证。

      • 文件验证:您需要手动从数字证书管理服务控制台下载一个专用的验证文件,然后将该文件上传到站点服务器的指定验证目录。

    联系人

    在下拉列表中,单击新建联系人,新建本次证书申请的联系人。如果已创建过联系人,可以直接选择已有的联系人。

    请您务必确保联系人信息准确且有效。

    所在地

    选择您所在的城市或地区。

    密钥算法

    SSL证书使用的密钥算法。默认选择为RSA,且不支持修改。RSA算法是目前全球广泛应用的非对称加密算法,具有良好的兼容性。

    CSR生成方式

    CSR(Certificate Signing Request)文件是SSL证书的请求文件,包含服务器信息和单位信息,需要提交给CA中心审核。

    您选择系统生成即可,表示由数字证书管理服务自动使用您在密钥算法指定的加密算法生成CSR文件。

  5. 如果域名验证方式自动DNS验证,系统会自动完成DNS验证,您仅需等待证书签发即可;如果域名验证方式选择手动DNS验证文件验证,您需要按照验证信息中的提示,完成域名所有权的验证。更多信息和常见报错,请参见域名所有权验证

    提交免费SSL证书申请后,CA中心一般会在30分钟左右完成审核和签发,请您耐心等待。SSL证书签发后,SSL证书状态将变更为已签发

步骤二:配置SSL证书

证书签发后,证书状态将变更为已签发,您需要部署SSL证书至服务器并配置证书。关于证书部署和安装的更多信息,请参见SSL证书安装指南

  1. 上传部署SSL证书。

    1. 在左侧导航栏,选择部署和资源管理 > 云服务器部署

    2. 云服务器部署页面,单击创建任务,按照以下步骤部署SSL证书。

      1. 选择证书引导页,选择目标SSL证书,单击下一步

        每个部署任务仅支持部署一张SSL证书至对应的云服务器,如需部署多个SSL证书,请创建多个部署任务。

        配置项

        说明

        任务名称

        自定义部署任务名称。

        证书类型

        选择免费证书

      2. 选择资源引导页,选择对应的云服务器和资源,单击下一步

        image

        • 系统会自动识别并拉取当前阿里云账号下所有符合条件的云服务器实例资源(即云服务器部署了Web应用),如果未找到对应的资源,请您尝试在资源列表上方手动单击同步云产品资源。如果仍未显示对应资源,请检查云服务器是否部署了Web应用,例如Nginx,Apache等。

        • 若某个实例之前部署过证书,系统会显示已部署证书的名称。

      3. 任务部署引导页,参考下表上传证书至云服务器,单击确定

        重要

        如果服务器中不存在对应的证书配置目录,系统将会自动进行创建。

        配置项

        描述

        配置示例

        证书路径

        设置证书文件存放在云服务器中的绝对路径。

        /usr/local/nginx/conf/ssl/cert.pem

        私钥路径

        设置证书私钥文件存放在云服务器中的绝对路径。

        /usr/local/nginx/conf/ssl/cert.key

        证书链路径

        设置证书链文件存放在云服务器中的绝对路径。

        无需配置。

        重启命令

        在部署证书后,需要重启云服务器中的Web应用或重新加载Web应用配置文件,以使证书生效。因此,您可以设置Web应用的重启或重新加载配置文件命令。

        重要

        执行相关命令时,可能会出现服务启动失败的情况。如果服务启动失败,请前往对应的云服务器进行操作。

        无需配置。

      4. 在提示对话框,单击确定

  2. 配置SSL证书。

    1. 远程连接轻量应用服务器。具体操作,请参见远程连接Linux服务器

    2. 执行以下命令,修改WordPress配置文件wordpress.conf。

      说明

      本示例WordPress环境中默认安装的是Nginx,不同环境的配置文件路径和名称可能不一样,请您以实际环境为准。

      sudo vim /usr/local/nginx/conf/vhost/wordpress.conf
    3. i键,进入编辑模式。

    4. 在配置文件server{}代码段中配置证书路径。

      修改后的配置文件示例如下所示:

      server {
        listen 80;
        listen [::]:80;
        listen 443 ssl http2;
        listen [::]:443 ssl http2;
        #配置SSL证书路径。证书路径需与部署证书时设置一致。
        ssl_certificate /usr/local/nginx/conf/ssl/cert.pem;
        ssl_certificate_key /usr/local/nginx/conf/ssl/cert.key;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
        ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
        ssl_prefer_server_ciphers on;
        ssl_session_timeout 10m;
        ssl_session_cache builtin:1000 shared:SSL:10m;
        ssl_buffer_size 1400;
        add_header Strict-Transport-Security max-age=15768000;
        ssl_stapling on;
        ssl_stapling_verify on;
        server_name _;
        access_log /data/wwwlogs/wordpress_nginx.log combined;
        index index.html index.htm index.php;
        root /data/wwwroot/wordpress;
        #if ($ssl_protocol = "") { return 301 https://$host$request_uri; }
        #if ($host != www.example.com) {  return 301 $scheme://www.example.com$request_uri;  }
        include /usr/local/nginx/conf/rewrite/wordpress.conf;
        #error_page 404 /404.html;
        #error_page 502 /502.html;
      
        location ~ [^/]\.php(/|$) {
          #fastcgi_pass remote_php_ip:9000;
          fastcgi_pass unix:/dev/shm/php-cgi.sock;
          fastcgi_index index.php;
          include fastcgi.conf;
        }
      
        location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|flv|mp4|ico)$ {
          expires 30d;
          access_log off;
        }
        location ~ .*\.(js|css)?$ {
          expires 7d;
          access_log off;
        }
        location ~ /(\.user\.ini|\.ht|\.git|\.svn|\.project|LICENSE|README\.md) {
          deny all;
        }
      }
    5. 修改完成后,按Esc键,输入:wq!并按Enter键,保存修改后的配置文件并退出编辑模式。

    6. 执行以下命令,重启Nginx服务。

      sudo systemctl reload nginx
    7. 运行以下命令,重启数据库。

      sudo service mysqld restart

步骤三:验证SSL证书是否安装成功

  1. 在WordPress后台管理页面配置HTTPS域名。

    1. 登录WordPress后台管理页面。

      后台管理页面地址、用户名、密码的获取方式具体操作,请参见步骤二:配置应用

    2. 在左侧导航栏中,选择设置 > 常规

    3. WordPress地址(URL)站点地址(URL)后,输入您已绑定并解析的域名,本文以https://example.com为例。adasd

    4. 单击保存更改

      说明

      修改WordPress地址(URL)站点地址(URL)后,则管理员登录地址变为https://example.com/wp-login.phpexample.com需要替换为您的实际域名。

  2. 使用浏览器访问https://轻量应用服务器对应的域名

    • 如果浏览器地址栏中出现小锁标志,表示SSL证书已经安装成功。sda

    • 如果网站无法通过HTTPS正常访问,您可以通过以下方法排查。

      • 需确认您安装SSL证书的轻量应用服务器443端口是否已开启或被其他工具拦截。放行443端口的具体操作,请参见管理防火墙

      • 域名是否备案。如果域名解析至中国内地服务器的网站,需要确保域名已备案。更多信息,请参见什么是ICP备案

      • 证书路径配置是否正确。需确保证书上传的路径和配置的路径相同。具体操作,请参见配置SSL证书

相关文档

不同类型的服务器支持配置的SSL证书格式不同,您可以根据服务器的类型选择安装对应的SSL证书。具体操作,请参见SSL证书安装指南

  • 本页导读 (1)