经典案例
  • 铜仁市发展和改革委员会网站
  • 铜仁市科技创新服务平台
  • 铜仁市科学技术局

阿里云免费SSL证书部署网站HTTPS

发布于:2018-06-20 16:51来源:未知 作者:admin 点击:

  随着移动互联网的快速发展,网络安全问题日益突出。如何保护用户与网站交互信息的安全成为了很多企业关注的问题。HTTPS能有效保护用户的隐私以及数据安全,下面小编就介绍如何使用免费的DV证书来部署HTTPS。

  由于阿里云在国内的名声,所以用阿里云SSL证书似乎变得理所当然。但是阿里云的CA证书相对较贵,比起其他渠道购买贵上好几倍。但是好在阿里云提供了免费版本的DV证书,并且每个阿里云账户能申请多达20个免费DV证书,一般情况下已经足够用了。

 

申请证书

登录:阿里云控制台,产品与服务,证书服务,购买证书。
购买:证书类型选择 免费型DV SSL,然后完成购买。
补全:在 我的证书 控制台,找到购买的证书,在操作栏里选择 补全。填写证书相关信息。
域名验证:可以选择 DNS,如果域名用了阿里云的 DNS 服务,再勾选一下 证书绑定的域名在 阿里云的云解析。
上传:系统生成 CSR,点一下 创建。
提交审核。

 

如果一切正常,10 分钟左右,申请的证书就会审核通过。

申请证书要注意的是验证域名,就是你要验证你想绑定证书的域名是你自己的,如果选择使用 DNS 验证,你需要在域名的管理里,添加一条特定的 DNS 记录,这样就可以证名这个域名是你自己的。使用了阿里云的云解析服务,这个步骤可以自动完成,会自动为你添加一条 DNS 验证的记录。

 

输入证书要绑定的域名:

1510206510468035.png

 

 

填写个人信息:

1510206599347421.png

域名验证类型可以根据实际的情况选择,一般来说选择“文件”的方式验证会简单直接一下。

阿里云云盾证书服务提供了两种验证方式:

 

DNS 验证方式

DNS 验证方式一般需要由您的域名管理人员进行相关操作。请按照您的证书订单中的进度提示,在您的域名管理系统中进行相应配置。

选择 DNS 域名授权验证方式,您需要到您的域名解析服务商(如万网、新网、DNSPod等)提供的系统中进行配置。例如,域名托管在阿里云,则需要到云解析DNS控制台进行相关配置。

注意: 该 DNS 配置记录在证书颁发或吊销后方可删除。

操作步骤

  1. 登录 云盾证书服务管理控制台,在 我的订单 列表中选择您已提交审核申请的证书订单,单击 进度,即可查看域名授权配置相关信息(如需要配置的 DNS 的主机记录,记录值和记录类型等)。

    注意:在您提交审核申请后,系统可能需要几分钟生成相关域名授权配置信息。

    域名授权配置

  2. 到您的域名解析管理系统中根据域名授权配置要求添加一条记录。请务必正确填写主机记录、记录值和记录类型,注意不要把主机记录和记录值配置反了。

    提示:云盾证书服务提供的主机记录是全域名的,如果您的域名管理系统不支持全域名主机记录请去掉根域名的后缀部分即可。

    说明: 如果您的域名托管在阿里云的云解析服务且勾选了 授权系统自动添加一条记录以完成域名授权验证 选项,您无需在域名解析管理控制台中进行任何操作。您可直接在审核进度页面查看域名授权验证推送结果:

    • 如果推送成功,您只需等待证书颁发即可。

    • 如果推送失败,则需要重新进行手动配置。

  3. 检测配置生效。

 

文件验证方式

文件验证方式一般需要由您的站点管理人员进行操作。请按照您的证书订单中的进度提示,将文件下载到本地电脑中,然后通过工具(如 FTP)上传到您服务器的指定目录中。

注意: 该验证文件在证书颁发或吊销后方可删除。

操作步骤

  1. 登录 云盾证书服务管理控制台,在 我的订单 列表中选择您已提交审核申请的证书订单,单击 进度,即可查看域名授权配置相关信息(如需要上传的验证文件及指定的服务器目录等)。

    文件验证配置

  2. 根据配置要求,将指定的验证文件下载到本地电脑中,然后通过工具(如 FTP)上传到您服务器的指定目录中。

    例如,您的网站域名为 a.com,站点所在服务器的磁盘目录为 /www/htdocs。根据上述文件验证配置要求,您需要进行如下配置:

    1. 在进度查询页面,单击 fileauth.txt 验证文件,下载到本地。

    2. 在您的站点服务器的/www/htdocs目录下创建.well-known/pki-validation子目录。

    3. 通过 FTP 工具将 fileauth.txt 验证文件上传到/www/htdocs/.well-known/pki-validation目录。

    4. 完成后,可通过验证 URL 地址(http://a.com/.well-known/pki-validation/fileauth.txt )访问。

  3. 检测配置生效。您可通过浏览器确认验证 URL 地址是否可以正常访问来检测配置是否生效。

 

下载证书

在阿里云的证书管理那里,如果申请的证书审核通过,你就可以下载了,点击 下载,可以选择不同的类型,可以选择 NGINX或 Apache 之类的服务器。根据自己网站的 Web 服务器类型,下载对应的证书。解压以后,你会得到两个文件一个是 *.key,一个是 *.pem。

管理证书

证书审核通过后,您可以在云盾证书服务管理控制台管理您的证书:

  1. 登录云盾证书服务管理控制台,单击我的证书。
    注意: 您也可以上传您已有的数字证书在我的证书页面进行统一管理。

  2. 在我的证书表中查看并管理您的数字证书。

 

配置 NGINX 的 HTTPS

有了证书,就可以去配置 Web 服务器去使用这个证书了,不同的 Web 服务器地配置方法都不太一样。下面用 NGINX 服务器作为演示。我的域名是 ninghao.org,出现这个文字的地方你可以根据自己的实际情况去替换一下。

 

下载并上传证书

创建一个存储证书的目录:

sudo mkdir -p /etc/nginx/ssl/example.com

把申请并下载下来的证书,上传到上面创建的目录的下面。我的证书的实际位置是:

/etc/nginx/ssl/example.com/213986617020706.pem
/etc/nginx/ssl/example.com/213978317020706.key

 

NGINX 配置文件

你的网站可以同时支持 HTTP 与 HTTPS,HTTP 默认的端口号是 80,HTTPS 的默认端口号是 443。也就是如果你的网站要使用 HTTPS,你需要配置网站服务器,让它监听 443 端口,就是用户使用 HTTPS 发出的请求。

下面是一个基本的监听 443 端口,使用了 SSL 证书的 NGINX 配置文件,创建一个配置文件:

touch /etc/nginx/ssl.example.com.conf

把下面的代码粘贴进去:

server {  
    listen       443;  
    server_name  example.com;  
    ssl          on;  
    root /mnt/www/example.com;  
    index index.html; 

    ssl_certificate   /etc/nginx/ssl/example.com/213986617020706.pem;  
    ssl_certificate_key  /etc/nginx/ssl/example.com/213978317020706.key;  
    ssl_session_timeout 5m;  
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;  
    ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;  
    ssl_prefer_server_ciphers on;
}

上面的配置里,ssl_certificate 与 ssl_certificate_key 这两个指令指定使用了两个文件,就是你下载的证书,解压之后看到的那两个文件,一个是 *.pem,一个是 *.key。你要把这两个文件上传到服务器上的某个目录的下面。

重新加载 NGINX 服务:

sudo service nginx reload

或:

sudo systemctl reload nginx
tag标签:
------分隔线----------------------------
------分隔线----------------------------