阿里云免費SSL證書部署網站HTTPS
隨著移動互聯網的快速發(fā)展,網絡安全問題日益突出。如何保護用戶與網站交互信息的安全成為了很多企業(yè)關注的問題。HTTPS能有效保護用戶的隱私以及數據安全,下面小編就介紹如何使用免費的DV證書來部署HTTPS。
由于阿里云在國內的名聲,所以用阿里云SSL證書似乎變得理所當然。但是阿里云的CA證書相對較貴,比起其他渠道購買貴上好幾倍。但是好在阿里云提供了免費版本的DV證書,并且每個阿里云賬戶能申請多達20個免費DV證書,一般情況下已經足夠用了。
申請證書
登錄:阿里云控制臺,產品與服務,證書服務,購買證書。
購買:證書類型選擇 免費型DV SSL,然后完成購買。
補全:在 我的證書 控制臺,找到購買的證書,在操作欄里選擇 補全。填寫證書相關信息。
域名驗證:可以選擇 DNS,如果域名用了阿里云的 DNS 服務,再勾選一下 證書綁定的域名在 阿里云的云解析。
上傳:系統生成 CSR,點一下 創(chuàng)建。
提交審核。
如果一切正常,10 分鐘左右,申請的證書就會審核通過。
申請證書要注意的是驗證域名,就是你要驗證你想綁定證書的域名是你自己的,如果選擇使用 DNS 驗證,你需要在域名的管理里,添加一條特定的 DNS 記錄,這樣就可以證名這個域名是你自己的。使用了阿里云的云解析服務,這個步驟可以自動完成,會自動為你添加一條 DNS 驗證的記錄。
輸入證書要綁定的域名:
填寫個人信息:
域名驗證類型可以根據實際的情況選擇,一般來說選擇“文件”的方式驗證會簡單直接一下。
阿里云云盾證書服務提供了兩種驗證方式:
DNS 驗證方式
DNS 驗證方式一般需要由您的域名管理人員進行相關操作。請按照您的證書訂單中的進度提示,在您的域名管理系統中進行相應配置。
選擇 DNS 域名授權驗證方式,您需要到您的域名解析服務商(如萬網、新網、DNSPod等)提供的系統中進行配置。例如,域名托管在阿里云,則需要到云解析DNS控制臺進行相關配置。
注意: 該 DNS 配置記錄在證書頒發(fā)或吊銷后方可刪除。
操作步驟
-
登錄 云盾證書服務管理控制臺,在 我的訂單 列表中選擇您已提交審核申請的證書訂單,單擊 進度,即可查看域名授權配置相關信息(如需要配置的 DNS 的主機記錄,記錄值和記錄類型等)。
注意:在您提交審核申請后,系統可能需要幾分鐘生成相關域名授權配置信息。
-
到您的域名解析管理系統中根據域名授權配置要求添加一條記錄。請務必正確填寫主機記錄、記錄值和記錄類型,注意不要把主機記錄和記錄值配置反了。
提示:云盾證書服務提供的主機記錄是全域名的,如果您的域名管理系統不支持全域名主機記錄請去掉根域名的后綴部分即可。
說明: 如果您的域名托管在阿里云的云解析服務且勾選了 授權系統自動添加一條記錄以完成域名授權驗證 選項,您無需在域名解析管理控制臺中進行任何操作。您可直接在審核進度頁面查看域名授權驗證推送結果:
如果推送成功,您只需等待證書頒發(fā)即可。
如果推送失敗,則需要重新進行手動配置。
檢測配置生效。
文件驗證方式
文件驗證方式一般需要由您的站點管理人員進行操作。請按照您的證書訂單中的進度提示,將文件下載到本地電腦中,然后通過工具(如 FTP)上傳到您服務器的指定目錄中。
注意: 該驗證文件在證書頒發(fā)或吊銷后方可刪除。
操作步驟
-
登錄 云盾證書服務管理控制臺,在 我的訂單 列表中選擇您已提交審核申請的證書訂單,單擊 進度,即可查看域名授權配置相關信息(如需要上傳的驗證文件及指定的服務器目錄等)。
-
根據配置要求,將指定的驗證文件下載到本地電腦中,然后通過工具(如 FTP)上傳到您服務器的指定目錄中。
例如,您的網站域名為 a.com,站點所在服務器的磁盤目錄為 /www/htdocs。根據上述文件驗證配置要求,您需要進行如下配置:
在進度查詢頁面,單擊 fileauth.txt 驗證文件,下載到本地。
在您的站點服務器的/www/htdocs目錄下創(chuàng)建.well-known/pki-validation子目錄。
通過 FTP 工具將 fileauth.txt 驗證文件上傳到/www/htdocs/.well-known/pki-validation目錄。
完成后,可通過驗證 URL 地址(http://a.com/.well-known/pki-validation/fileauth.txt )訪問。
檢測配置生效。您可通過瀏覽器確認驗證 URL 地址是否可以正常訪問來檢測配置是否生效。
下載證書
在阿里云的證書管理那里,如果申請的證書審核通過,你就可以下載了,點擊 下載,可以選擇不同的類型,可以選擇 NGINX或 Apache 之類的服務器。根據自己網站的 Web 服務器類型,下載對應的證書。解壓以后,你會得到兩個文件一個是 *.key,一個是 *.pem。
管理證書
證書審核通過后,您可以在云盾證書服務管理控制臺管理您的證書:
登錄云盾證書服務管理控制臺,單擊我的證書。
注意: 您也可以上傳您已有的數字證書在我的證書頁面進行統一管理。-
在我的證書表中查看并管理您的數字證書。
配置 NGINX 的 HTTPS
有了證書,就可以去配置 Web 服務器去使用這個證書了,不同的 Web 服務器地配置方法都不太一樣。下面用 NGINX 服務器作為演示。我的域名是 ninghao.org,出現這個文字的地方你可以根據自己的實際情況去替換一下。
下載并上傳證書
創(chuàng)建一個存儲證書的目錄:
sudo?mkdir?-p?/etc/nginx/ssl/example.com
把申請并下載下來的證書,上傳到上面創(chuàng)建的目錄的下面。我的證書的實際位置是:
/etc/nginx/ssl/example.com/213986617020706.pem /etc/nginx/ssl/example.com/213978317020706.key
NGINX 配置文件
你的網站可以同時支持 HTTP 與 HTTPS,HTTP 默認的端口號是 80,HTTPS 的默認端口號是 443。也就是如果你的網站要使用 HTTPS,你需要配置網站服務器,讓它監(jiān)聽 443 端口,就是用戶使用 HTTPS 發(fā)出的請求。
下面是一個基本的監(jiān)聽 443 端口,使用了 SSL 證書的 NGINX 配置文件,創(chuàng)建一個配置文件:
touch?/etc/nginx/ssl.example.com.conf
把下面的代碼粘貼進去:
server?{?? ????listen???????443;?? ????server_name??example.com;?? ????ssl??????????on;?? ????root?/mnt/www/example.com;?? ????index?index.html;? ????ssl_certificate???/etc/nginx/ssl/example.com/213986617020706.pem;?? ????ssl_certificate_key??/etc/nginx/ssl/example.com/213978317020706.key;?? ????ssl_session_timeout?5m;?? ????ssl_protocols?TLSv1?TLSv1.1?TLSv1.2;?? ????ssl_ciphers?AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;?? ????ssl_prefer_server_ciphers?on; }
上面的配置里,ssl_certificate 與?ssl_certificate_key 這兩個指令指定使用了兩個文件,就是你下載的證書,解壓之后看到的那兩個文件,一個是 *.pem,一個是 *.key。你要把這兩個文件上傳到服務器上的某個目錄的下面。
重新加載 NGINX 服務:
sudo?service?nginx?reload
或:
sudo?systemctl?reload?nginx
- 上一篇:為什么進銷存管理對企業(yè)如此重要?
- 下一篇:著陸頁的類型、組成與設計
相關內容推薦
最新文章
更多>>0532-88983785 / 0532-68613670
我要定制網站