阿裏雲免費SSL證書部署網站HTTPS

　　随着移動互聯網的(de)快速發展，網絡安全問題日益突出(chū)。如何保護用戶與網站交互信息的(de)安全成爲(wéi / wèi)了(le／liǎo)很多企業關注的(de)問題。HTTPS能有效保護用戶的(de)隐私以(yǐ)及數據安全，下面小編就(jiù)介紹如何使用免費的(de)DV證書來(lái)部署HTTPS。

　　由于(yú)阿裏雲在(zài)國(guó)内的(de)名聲，所以(yǐ)用阿裏雲SSL證書似乎變得理所當然。但是(shì)阿裏雲的(de)CA證書相對較貴，比起其他(tā)渠道(dào)購買貴上(shàng)好幾倍。但是(shì)好在(zài)阿裏雲提供了(le／liǎo)免費版本的(de)DV證書，并且每個(gè)阿裏雲賬戶能申請多達20個(gè)免費DV證書，一(yī / yì ／yí)般情況下已經足夠用了(le／liǎo)。

申請證書

登錄：阿裏雲控制台，産品與服務，證書服務，購買證書。
購買：證書類型選擇 免費型DV SSL，然後完成購買。
補全：在(zài) 我的(de)證書 控制台，找到(dào)購買的(de)證書，在(zài)操作欄裏選擇 補全。填寫證書相關信息。
域名驗證：可以(yǐ)選擇 DNS，如果域名用了(le／liǎo)阿裏雲的(de) DNS 服務，再勾選一(yī / yì ／yí)下 證書綁定的(de)域名在(zài) 阿裏雲的(de)雲解析。
上(shàng)傳：系統生成 CSR，點一(yī / yì ／yí)下 創建。
提交審核。

如果一(yī / yì ／yí)切正常，10 分鍾左右，申請的(de)證書就(jiù)會審核通過。

申請證書要(yào / yāo)注意的(de)是(shì)驗證域名，就(jiù)是(shì)你要(yào / yāo)驗證你想綁定證書的(de)域名是(shì)你自己的(de)，如果選擇使用 DNS 驗證，你需要(yào / yāo)在(zài)域名的(de)管理裏，添加一(yī / yì ／yí)條特定的(de) DNS 記錄，這(zhè)樣就(jiù)可以(yǐ)證名這(zhè)個(gè)域名是(shì)你自己的(de)。使用了(le／liǎo)阿裏雲的(de)雲解析服務，這(zhè)個(gè)步驟可以(yǐ)自動完成，會自動爲(wéi / wèi)你添加一(yī / yì ／yí)條 DNS 驗證的(de)記錄。

輸入證書要(yào / yāo)綁定的(de)域名：

填寫個(gè)人(rén)信息：

域名驗證類型可以(yǐ)根據實際的(de)情況選擇，一(yī / yì ／yí)般來(lái)說(shuō)選擇“文件”的(de)方式驗證會簡單直接一(yī / yì ／yí)下。

阿裏雲雲盾證書服務提供了(le／liǎo)兩種驗證方式：

DNS 驗證方式

DNS 驗證方式一(yī / yì ／yí)般需要(yào / yāo)由您的(de)域名管理人(rén)員進行相關操作。請按照您的(de)證書訂單中的(de)進度提示，在(zài)您的(de)域名管理系統中進行相應配置。

選擇 DNS 域名授權驗證方式，您需要(yào / yāo)到(dào)您的(de)域名解析服務商（如萬網、新網、DNSPod等）提供的(de)系統中進行配置。例如，域名托管在(zài)阿裏雲，則需要(yào / yāo)到(dào)雲解析DNS控制台進行相關配置。

注意： 該 DNS 配置記錄在(zài)證書頒發或吊銷後方可删除。

操作步驟

1. 登錄 雲盾證書服務管理控制台，在(zài) 我的(de)訂單 列表中選擇您已提交審核申請的(de)證書訂單，單擊 進度，即可查看域名授權配置相關信息（如需要(yào / yāo)配置的(de) DNS 的(de)主機記錄，記錄值和(hé / huò)記錄類型等）。

   注意：在(zài)您提交審核申請後，系統可能需要(yào / yāo)幾分鍾生成相關域名授權配置信息。

   

2. 到(dào)您的(de)域名解析管理系統中根據域名授權配置要(yào / yāo)求添加一(yī / yì ／yí)條記錄。請務必正确填寫主機記錄、記錄值和(hé / huò)記錄類型，注意不(bù)要(yào / yāo)把主機記錄和(hé / huò)記錄值配置反了(le／liǎo)。

   提示：雲盾證書服務提供的(de)主機記錄是(shì)全域名的(de)，如果您的(de)域名管理系統不(bù)支持全域名主機記錄請去掉根域名的(de)後綴部分即可。

   說(shuō)明： 如果您的(de)域名托管在(zài)阿裏雲的(de)雲解析服務且勾選了(le／liǎo) 授權系統自動添加一(yī / yì ／yí)條記錄以(yǐ)完成域名授權驗證 選項，您無需在(zài)域名解析管理控制台中進行任何操作。您可直接在(zài)審核進度頁面查看域名授權驗證推送結果：

• 如果推送成功，您隻需等待證書頒發即可。

• 如果推送失敗，則需要(yào / yāo)重新進行手動配置。

文件驗證方式

文件驗證方式一(yī / yì ／yí)般需要(yào / yāo)由您的(de)站點管理人(rén)員進行操作。請按照您的(de)證書訂單中的(de)進度提示，将文件下載到(dào)本地(dì / de)電腦中，然後通過工具（如 FTP）上(shàng)傳到(dào)您服務器的(de)指定目錄中。

注意： 該驗證文件在(zài)證書頒發或吊銷後方可删除。

操作步驟

1. 登錄 雲盾證書服務管理控制台，在(zài) 我的(de)訂單 列表中選擇您已提交審核申請的(de)證書訂單，單擊 進度，即可查看域名授權配置相關信息（如需要(yào / yāo)上(shàng)傳的(de)驗證文件及指定的(de)服務器目錄等）。

   

2. 根據配置要(yào / yāo)求，将指定的(de)驗證文件下載到(dào)本地(dì / de)電腦中，然後通過工具（如 FTP）上(shàng)傳到(dào)您服務器的(de)指定目錄中。

   例如，您的(de)網站域名爲(wéi / wèi) a.com，站點所在(zài)服務器的(de)磁盤目錄爲(wéi / wèi) /www/htdocs。根據上(shàng)述文件驗證配置要(yào / yāo)求，您需要(yào / yāo)進行如下配置：

1. 在(zài)進度查詢頁面，單擊 fileauth.txt 驗證文件，下載到(dào)本地(dì / de)。

2. 在(zài)您的(de)站點服務器的(de)/www/htdocs目錄下創建.well-known/pki-validation子(zǐ)目錄。

3. 通過 FTP 工具将 fileauth.txt 驗證文件上(shàng)傳到(dào)/www/htdocs/.well-known/pki-validation目錄。

4. 完成後，可通過驗證 URL 地(dì / de)址（http://a.com/.well-known/pki-validation/fileauth.txt ）訪問。

3. 檢測配置生效。您可通過浏覽器确認驗證 URL 地(dì / de)址是(shì)否可以(yǐ)正常訪問來(lái)檢測配置是(shì)否生效。

下載證書

在(zài)阿裏雲的(de)證書管理那裏，如果申請的(de)證書審核通過，你就(jiù)可以(yǐ)下載了(le／liǎo)，點擊 下載，可以(yǐ)選擇不(bù)同的(de)類型，可以(yǐ)選擇 NGINX或 Apache 之(zhī)類的(de)服務器。根據自己網站的(de) Web 服務器類型，下載對應的(de)證書。解壓以(yǐ)後，你會得到(dào)兩個(gè)文件一(yī / yì ／yí)個(gè)是(shì) *.key，一(yī / yì ／yí)個(gè)是(shì) *.pem。

管理證書

證書審核通過後，您可以(yǐ)在(zài)雲盾證書服務管理控制台管理您的(de)證書：

1. 登錄雲盾證書服務管理控制台，單擊我的(de)證書。
   注意： 您也(yě)可以(yǐ)上(shàng)傳您已有的(de)數字證書在(zài)我的(de)證書頁面進行統一(yī / yì ／yí)管理。

2. 在(zài)我的(de)證書表中查看并管理您的(de)數字證書。

   

配置 NGINX 的(de) HTTPS

有了(le／liǎo)證書，就(jiù)可以(yǐ)去配置 Web 服務器去使用這(zhè)個(gè)證書了(le／liǎo)，不(bù)同的(de) Web 服務器地(dì / de)配置方法都不(bù)太一(yī / yì ／yí)樣。下面用 NGINX 服務器作爲(wéi / wèi)演示。我的(de)域名是(shì) ninghao.org，出(chū)現這(zhè)個(gè)文字的(de)地(dì / de)方你可以(yǐ)根據自己的(de)實際情況去替換一(yī / yì ／yí)下。

下載并上(shàng)傳證書

創建一(yī / yì ／yí)個(gè)存儲證書的(de)目錄：

sudo mkdir -p /etc/nginx/ssl/example.com

把申請并下載下來(lái)的(de)證書，上(shàng)傳到(dào)上(shàng)面創建的(de)目錄的(de)下面。我的(de)證書的(de)實際位置是(shì)：

/etc/nginx/ssl/example.com/213986617020706.pem
/etc/nginx/ssl/example.com/213978317020706.key

NGINX 配置文件

你的(de)網站可以(yǐ)同時(shí)支持 HTTP 與 HTTPS，HTTP 默認的(de)端口号是(shì) 80，HTTPS 的(de)默認端口号是(shì) 443。也(yě)就(jiù)是(shì)如果你的(de)網站要(yào / yāo)使用 HTTPS，你需要(yào / yāo)配置網站服務器，讓它監聽 443 端口，就(jiù)是(shì)用戶使用 HTTPS 發出(chū)的(de)請求。

下面是(shì)一(yī / yì ／yí)個(gè)基本的(de)監聽 443 端口，使用了(le／liǎo) SSL 證書的(de) NGINX 配置文件，創建一(yī / yì ／yí)個(gè)配置文件：

touch /etc/nginx/ssl.example.com.conf

把下面的(de)代碼粘貼進去：

server {  
    listen       443;  
    server_name  example.com;  
    ssl          on;  
    root /mnt/www/example.com;  
    index index.html; 

    ssl_certificate   /etc/nginx/ssl/example.com/213986617020706.pem;  
    ssl_certificate_key  /etc/nginx/ssl/example.com/213978317020706.key;  
    ssl_session_timeout 5m;  
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;  
    ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;  
    ssl_prefer_server_ciphers on;
}

上(shàng)面的(de)配置裏，ssl_certificate 與 ssl_certificate_key 這(zhè)兩個(gè)指令指定使用了(le／liǎo)兩個(gè)文件，就(jiù)是(shì)你下載的(de)證書，解壓之(zhī)後看到(dào)的(de)那兩個(gè)文件，一(yī / yì ／yí)個(gè)是(shì) *.pem，一(yī / yì ／yí)個(gè)是(shì) *.key。你要(yào / yāo)把這(zhè)兩個(gè)文件上(shàng)傳到(dào)服務器上(shàng)的(de)某個(gè)目錄的(de)下面。

重新加載 NGINX 服務：

sudo service nginx reload

或：

sudo systemctl reload nginx