通过数字证书管理服务购买并签发SSL证书后,您需要将已签发的SSL证书安装至服务器,才能使SSL证书生效。本文介绍如何下载及安装SSL证书。

SSL证书安装场景

场景说明
在服务器安装SSL证书表示在提供Web服务的服务器上配置下载后的SSL证书,并开启HTTPS监听,实现客户端与服务器之间的HTTPS通信。具体操作,请参见下载SSL证书到本地在服务器安装SSL证书
说明 如果您的SSL证书的安装环境复杂,需要一对一远程技术指导或现场部署,您可以购买证书部署服务。具体操作,请参见证书申请协助和部署服务
在阿里云产品安装SSL证书表示通过数字证书管理服务控制台,将SSL证书快速应用到阿里云产品的指定资源上,简化SSL证书配置操作。具体操作,请参见在阿里云产品安装SSL证书

下载SSL证书到本地

不同类型的服务器支持配置的SSL证书格式不同。为了便于您安装SSL证书,数字证书管理服务提供了适用于各种服务器(例如,Nginx、Spring Boot、Apache Tomcat、Apache(httpd)、Internet Information Services)的SSL证书压缩包,供您直接下载使用(无需手动转换SSL证书格式)。如果您不清楚您的服务器类型,需要查看服务器类型,请参见如何查看服务器类型?

如果您已经通过数字证书管理服务购买并签发了SSL证书,可以执行以下步骤,将已签发的阿里云SSL证书下载到本地。
重要 为了保证数据安全性,您上传到数字证书管理服务进行统一管理的第三方证书不支持下载。
  1. 登录数字证书管理服务控制台
  2. 在左侧导航栏,单击SSL证书
  3. 通过单击对应页签,选择要操作的SSL证书类型:
    • 证书管理页签:表示操作付费版SSL证书。
    • 免费证书页签:表示操作免费版SSL证书。

    不同类型SSL证书的下载操作相同,下文操作描述以下载付费版SSL证书为例。

  4. 在SSL证书列表,定位到要下载的SSL证书,单击操作下载
    说明 只有状态为已签发即将过期已过期的SSL证书支持下载操作,否则SSL证书操作列下不会显示下载按钮。
  5. 证书下载面板,定位到目标服务器,单击操作列的下载
    数字证书管理服务已经将您的SSL证书自动转换成适用于不同服务器的格式并压缩。完成下载后,您可以解压对应SSL证书的压缩包获得对应的SSL证书文件,解压后的非国密算法证书文件说明如下表所示。
    说明
    国密算法证书安装通常是PEM格式,下载后通常包含四个文件:
    • 签名证书:server_sign.pem和server_sign.key。
    • 加密证书:server_enc.pem和server_enc.key。

    如果下载后没有适合您服务器的证书格式,您可以通过证书格式转换工具转换证书格式。转换证书格式的具体操作,请参见证书格式转换

    如果业务用户通过客户端浏览器访问服务器,则无需关注根证书,因为根证书已经内置在客户端浏览器。如果业务用户通过Java等客户端访问服务器,由于客户端没有内置根证书和中间证书,您可能需要下载根证书和中间证书,具体操作,请参见下载根证书和中间证书

    服务器类型证书文件说明
    Tomcat通常安装PFX、JKS格式的证书文件,JKS文件请在JSK服务器列下载。PFX文件说明如下:
    • domain name.pfx:证书文件,格式为PFX。
    • pfx-password.txt:证书保护密码。
    说明 如果您在提交证书申请时,未将CSR生成方式设置为系统生成,则您下载的证书压缩包中不包含TXT密码文件。
    Apache通常安装CRT格式的证书文件。文件说明如下:
    • domain name_public.crt:证书文件。
    • domain name_chain.crt:证书链文件。
    • domain name.key:证书私钥文件。
    Nginx通常安装PEM格式的证书文件。文件说明如下:
    • domain name.pem:证书文件。
    • domain name.key:证书私钥文件。
    IIS通常安装PFX格式的证书文件。文件说明如下:
    • domain name.pfx:证书文件。
    • pfx-password.txt:证书保护密码。
    JKS通常安装JKS格式的证书文件。文件说明如下:
    • domain name.jks:证书文件。
    • jks-password.txt:证书保护密码。
    其他PEM格式的证书文件。文件说明如下:
    • domain name.pem:证书文件,格式为PEM。
    • domain name.key:证书私钥文件。

在服务器安装SSL证书

您需要通过数字证书管理服务控制台下载SSL证书到本地,并将已下载的SSL证书上传到服务器并修改服务器的相关配置,才能使SSL证书生效。如何下载SSL证书,请参见下载SSL证书到本地

不同服务器安装SSL证书的具体操作不同。以下内容介绍了在服务器上安装SSL证书的方法,供您参考。
说明 如果您的服务器类型不在以下范围,或者您不熟悉服务器配置操作,请联系产品技术专家进行咨询,详情请参见专家一对一服务
Web服务器类型证书安装方法
Nginx、Tengine在Nginx或Tengine服务器上安装证书在Tengine服务器安装RSA和SM2双算法证书
Spring Boot在Spring Boot上启用HTTPS
Apache Tomcat 7(及以下版本)
Apache Tomcat 8(及以上版本)在CentOS系统Tomcat 8.5或9上部署SSL证书
Apache(httpd)在Apache服务器上安装SSL证书
Apache 2在Ubuntu系统Apache 2部署SSL证书
IIS在IIS服务器上安装SSL证书
Jetty在Jetty服务器上安装SSL证书
GlassFish在GlassFish服务器上安装SSL证书

在阿里云产品安装SSL证书

阿里云产品可以通过数字证书管理服务控制台直接部署SSL证书,无需您下载SSL证书。仅以下阿里云产品支持通过数字证书管理服务控制台部署SSL证书:Web应用防火墙(WAF)云服务器ECS负载均衡SLB内容分发网络CDN对象存储OSS全站加速DCDN视频直播DDoS高防API网关视频点播函数计算FC全球加速GA安全加速SCDN云原生网关容器镜像服务ACR云虚拟主机Serverless应用引擎SAE。具体操作,请参见部署SSL证书到阿里云产品

不支持在数字证书管理服务控制台部署SSL证书的阿里云产品,您需要下载对应云产品的SSL证书,手动上传部署。具体操作,请参见下载SSL证书到本地在服务器安装SSL证书
重要 不同的阿里云产品,支持的证书部署方式不同。以下为您列举部分云产品上传SSL证书的操作指导,供您参考。