AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 数字证书管理服务(原SSL证书) 操作指南 SSL证书管理 部署SSL证书 SSL 证书部署方案选型

SSL 证书部署方案选型

更新时间:
产品详情
我的收藏

本文介绍如何根据业务需求选择合适的证书部署方案,为网站和应用启用 HTTPS 安全访问。

  • 在服务端部署 SSL 证书(必需):若需要为网站、API 或应用启用 HTTPS,必须在服务端部署 SSL 证书。

  • 在客户端安装根证书(通常无需干预):客户端需要预埋根证书以确保安全通信和验证服务器身份,通常客户端操作系统或者浏览器已经预埋根证书。仅当访问使用自签名证书的系统、客户端设备无法识别证书颁发机构、根证书缺失或已过期时,才需要在客户端安装根证书。

在服务端部署 SSL 证书

前提条件

  • 已通过数字证书管理服务购买和申请证书。如需购买和申请证书,请参见购买正式证书步骤二:申请证书

  • 证书状态必须为已签发,且其绑定域名必须匹配所有需保护的域名。

    如何确认证书状态和域名匹配情况

    1. 登录数字证书管理服务控制台。在左侧导航栏选择证书管理 > SSL证书管理

    2. SSL证书管理页面,定位需部署的目标证书,并确认以下信息:

      1. 证书状态:确保其为已签发。若为即将过期已过期,则需续费SSL证书

      2. 绑定域名:确保其能够匹配所有需保护的域名,否则未匹配的域名访问 HTTPS 时将出现安全警告。如需添加或修改,请参见追加和更换域名

        确认证书是否匹配目标域名

        证书的绑定域名可包含多个精确域名和通配符域名。每类域名的匹配规则如下:

        • 精确域名:仅对指定域名生效。

          • example.com 仅对 example.com 生效。

          • www.example.com 仅对 www.example.com 生效。

        • 通配符域名:仅对其一级子域名生效。

          • *.example.com 对 www.example.coma.example.com 等一级子域名生效。

          • *.example.com 对根域名 example.com 和多级子域名 a.b.example.com 不生效。

        说明

        如需匹配多级子域名,绑定域名中需包含该域名(如 a.b.example.com),或包含相应的通配符域名(如 *.b.example.com)。

  • 域名已正确解析且完成工信部ICP备案(仅限中国内地部署的服务)。

    如何查看域名解析记录以及 ICP 备案信息

    打开网络拨测工具,选择网络诊断分析,输入当前域名,确认以下信息:

    • DNS 服务商解析结果

      • 若为 A 记录,则其指向的 IP 地址必须与待部署证书的目标服务器公网IP一致。

      • 若为 CNAME 记录,则其指向的域名必须与待部署证书的流量入口(如 WAF、CDN、ALB 等)提供的 CNAME 地址一致。

    • 备案检查网站已备案。若显示“网站未备案,请咨询网站服务器提供商”,请完成备案后再安装证书。

确认证书部署位置

在处理HTTPS流量的过程中,确保在所有相关网络节点上全面部署SSL证书至关重要。这些节点包括但不限于Web服务器(如Nginx、Apache、IIS)、应用型负载均衡(ALB)、内容分发网络(CDN)、Web应用防火墙(WAF)、API网关等。在这些节点上部署SSL证书,可以提供从客户端到服务端的全链路加密,有效防止中间环节出现明文传输风险,确保端到端的安全通信。

  • 流量直接到达服务器:当用户通过访问服务器的公网IP地址来访问网站内容时,流量直接到达服务器,而不经过其他中间节点。

  • 流量经过多个网络节点:当用户通过域名访问网站内容时,流量通常会经过多个网络节点,例如内容分发网络(CDN)和应用型负载均衡(ALB),然后才被转发到真实的服务器上进行处理。

流量直接到达服务器

当公网流量直接访问源站 Web 服务器,且无其他中间网络代理时,SSL 证书仅需部署在该 Web 服务器上。

image

流量经过多个网络节点

若流量在到达目标服务器前,需经过 CDN、WAF 等多个中间节点,则每个处理 HTTPS 流量的节点均须部署证书。

重要

本文以“用户 → CDN → WAF → 负载均衡器 (ALB) → 源站服务器”这一复杂架构为例进行说明。此架构仅用于展示多节点场景下的证书部署策略。实际部署时,请根据您的网络架构在相应节点部署证书。

在不同场景下,证书的部署节点及传输加密范围如下:

场景

加密链路(HTTPS)

明文链路(HTTP)

需部署证书的节点

说明

场景一

用户 ↔ CDN

CDN → WAF → ALB → 源站服务器

CDN

仅加密客户端到 CDN 的流量,成本最低,但内网存在明文传输风险。

场景二

用户 ↔ WAF

WAF → ALB → 源站服务器

CDN、WAF

加密范围扩展至 WAF,提升了安全性。

场景三

用户 ↔ ALB

ALB → 源站服务器

CDN、WAF、ALB

仅源站服务器前一跳为明文传输,安全性较高。

场景四

用户 ↔ 源站服务器

CDN、WAF、ALB、源站服务器

实现全链路加密,提供最高级别的安全保障。

image

确认证书部署方案

说明

证书部署过程中如有任何问题需要协助,请联系产品技术专家进行咨询,详情请参见专家一对一服务

在决定SSL证书的部署方案之前,首先您需要明确服务器或云产品的托管方式,并结合以下情况选择具体的部署方案:

部署证书至阿里云

请根据实际情况选择以下合适的方案,将证书部署至ECS、轻量应用服务器,或其他云产品。

ECS、轻量应用服务器

请根据实际使用的Web应用服务器以及操作系统选择合适的证书部署教程。

重要

如果您不清楚您的Web服务器类型,请参考下方如何查看Web服务器类型?确定服务器类型。

其它阿里云产品(非 ECS、轻量应用服务器)

部署证书至腾讯云、华为云和AWS

  • 通过数字证书服务控制台部署

    使用阿里云数字证书服务控制台可将证书部署至第三方云平台。操作步骤请参见部署证书至三方云平台。支持的云平台和服务如下:

    • 腾讯云:内容分发网络CDN、Web应用防火墙、负载均衡CLB

    • AWS:Amazon CloudFront(CDN)、负载均衡(ALB、NLBCLB)

    • 华为云:内容分发网络CDN、弹性负载均衡ELB

  • 参考云厂商官网文档部署

    请参考相关云厂商的官方文档进行证书部署。

部署至其他厂商或自建服务器

请参考相关厂商官网文档或登录服务器部署(支持国际/国密SSL证书)

在客户端安装根证书

对于loT设备、嵌入式系统、企业内部系统、离线App、旧版本浏览器、Java客户端等业务场景,一般不会预埋CA根证书,因此部署SSL证书后,可能会出现客户端不信任的情况,需要您手动下载根证书并将根证书安装至客户端。

  1. 下载根证书

  2. 在客户端安装根证书。

常见问题

如何下载根证书?

可前往下载根证书下载阿里云支持的根证书。客户端安装(或预埋)根证书的具体操作,详见:在客户端安装根证书

证书链不完整、缺少中间证书时怎么办?

客户端的根证书和中间证书缺失或过期时,请参照如何解决网站SSL证书链不完整,下载安装缺失的根证书或中间证书后,重新尝试访问。

部署证书时提示:“证书链中的一个或多个中间证书丢失”?

部分服务端系统部署 SSL 证书时,如:Windows 2008 R2 中的 IIS 部署SSL证书时,可能会提示此错误,此时需在服务端安装缺失的根证书或中间证书。

如何查看Web服务器类型?

使用浏览器开发者工具查看

  1. 使用浏览器访问您的域名。

  2. F12,打开开发者工具,按照下图指引查看服务器类型。

    image.png

使用命令方式查看

  1. 登录您的服务器。

  2. 在您的服务器输入以下命令查看Web服务器类型。

    curl -i yourdomain
    说明

    yourdomain是必选参数,需替换为您实际的网站域名,例如curl -i www.aliyundoc.com

    查询结果示例如下图所示:

    image

咨询网站搭建工程师

如果仍然查询不到Web服务器类型,请咨询您的网站搭建工程师。如果您遇到其他问题,请联系产品技术专家进行咨询,详情请参见专家一对一服务

上一篇:部署SSL证书下一篇:在服务端部署SSL证书