阿里云免費(fèi)SSL證書部署網(wǎng)站HTTPS

　　隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益突出。如何保護(hù)用戶與網(wǎng)站交互信息的安全成為了很多企業(yè)關(guān)注的問(wèn)題。HTTPS能有效保護(hù)用戶的隱私以及數(shù)據(jù)安全，下面小編就介紹如何使用免費(fèi)的DV證書來(lái)部署HTTPS。

　　由于阿里云在國(guó)內(nèi)的名聲，所以用阿里云SSL證書似乎變得理所當(dāng)然。但是阿里云的CA證書相對(duì)較貴，比起其他渠道購(gòu)買貴上好幾倍。但是好在阿里云提供了免費(fèi)版本的DV證書，并且每個(gè)阿里云賬戶能申請(qǐng)多達(dá)20個(gè)免費(fèi)DV證書，一般情況下已經(jīng)足夠用了。

申請(qǐng)證書

登錄：阿里云控制臺(tái)，產(chǎn)品與服務(wù)，證書服務(wù)，購(gòu)買證書。
購(gòu)買：證書類型選擇 免費(fèi)型DV SSL，然后完成購(gòu)買。
補(bǔ)全：在 我的證書 控制臺(tái)，找到購(gòu)買的證書，在操作欄里選擇 補(bǔ)全。填寫證書相關(guān)信息。
域名驗(yàn)證：可以選擇 DNS，如果域名用了阿里云的 DNS 服務(wù)，再勾選一下 證書綁定的域名在 阿里云的云解析。
上傳：系統(tǒng)生成 CSR，點(diǎn)一下 創(chuàng)建。
提交審核。

如果一切正常，10 分鐘左右，申請(qǐng)的證書就會(huì)審核通過(guò)。

申請(qǐng)證書要注意的是驗(yàn)證域名，就是你要驗(yàn)證你想綁定證書的域名是你自己的，如果選擇使用 DNS 驗(yàn)證，你需要在域名的管理里，添加一條特定的 DNS 記錄，這樣就可以證名這個(gè)域名是你自己的。使用了阿里云的云解析服務(wù)，這個(gè)步驟可以自動(dòng)完成，會(huì)自動(dòng)為你添加一條 DNS 驗(yàn)證的記錄。

輸入證書要綁定的域名：

填寫個(gè)人信息：

域名驗(yàn)證類型可以根據(jù)實(shí)際的情況選擇，一般來(lái)說(shuō)選擇“文件”的方式驗(yàn)證會(huì)簡(jiǎn)單直接一下。

阿里云云盾證書服務(wù)提供了兩種驗(yàn)證方式：

DNS 驗(yàn)證方式

DNS 驗(yàn)證方式一般需要由您的域名管理人員進(jìn)行相關(guān)操作。請(qǐng)按照您的證書訂單中的進(jìn)度提示，在您的域名管理系統(tǒng)中進(jìn)行相應(yīng)配置。

選擇 DNS 域名授權(quán)驗(yàn)證方式，您需要到您的域名解析服務(wù)商（如萬(wàn)網(wǎng)、新網(wǎng)、DNSPod等）提供的系統(tǒng)中進(jìn)行配置。例如，域名托管在阿里云，則需要到云解析DNS控制臺(tái)進(jìn)行相關(guān)配置。

注意： 該 DNS 配置記錄在證書頒發(fā)或吊銷后方可刪除。

操作步驟

1. 登錄 云盾證書服務(wù)管理控制臺(tái)，在 我的訂單 列表中選擇您已提交審核申請(qǐng)的證書訂單，單擊 進(jìn)度，即可查看域名授權(quán)配置相關(guān)信息（如需要配置的 DNS 的主機(jī)記錄，記錄值和記錄類型等）。

   注意：在您提交審核申請(qǐng)后，系統(tǒng)可能需要幾分鐘生成相關(guān)域名授權(quán)配置信息。

   

2. 到您的域名解析管理系統(tǒng)中根據(jù)域名授權(quán)配置要求添加一條記錄。請(qǐng)務(wù)必正確填寫主機(jī)記錄、記錄值和記錄類型，注意不要把主機(jī)記錄和記錄值配置反了。

   提示：云盾證書服務(wù)提供的主機(jī)記錄是全域名的，如果您的域名管理系統(tǒng)不支持全域名主機(jī)記錄請(qǐng)去掉根域名的后綴部分即可。

   說(shuō)明： 如果您的域名托管在阿里云的云解析服務(wù)且勾選了 授權(quán)系統(tǒng)自動(dòng)添加一條記錄以完成域名授權(quán)驗(yàn)證 選項(xiàng)，您無(wú)需在域名解析管理控制臺(tái)中進(jìn)行任何操作。您可直接在審核進(jìn)度頁(yè)面查看域名授權(quán)驗(yàn)證推送結(jié)果：

• 如果推送成功，您只需等待證書頒發(fā)即可。

• 如果推送失敗，則需要重新進(jìn)行手動(dòng)配置。

文件驗(yàn)證方式

文件驗(yàn)證方式一般需要由您的站點(diǎn)管理人員進(jìn)行操作。請(qǐng)按照您的證書訂單中的進(jìn)度提示，將文件下載到本地電腦中，然后通過(guò)工具（如 FTP）上傳到您服務(wù)器的指定目錄中。

注意： 該驗(yàn)證文件在證書頒發(fā)或吊銷后方可刪除。

操作步驟

1. 登錄 云盾證書服務(wù)管理控制臺(tái)，在 我的訂單 列表中選擇您已提交審核申請(qǐng)的證書訂單，單擊 進(jìn)度，即可查看域名授權(quán)配置相關(guān)信息（如需要上傳的驗(yàn)證文件及指定的服務(wù)器目錄等）。

   

2. 根據(jù)配置要求，將指定的驗(yàn)證文件下載到本地電腦中，然后通過(guò)工具（如 FTP）上傳到您服務(wù)器的指定目錄中。

   例如，您的網(wǎng)站域名為 a.com，站點(diǎn)所在服務(wù)器的磁盤目錄為 /www/htdocs。根據(jù)上述文件驗(yàn)證配置要求，您需要進(jìn)行如下配置：

1. 在進(jìn)度查詢頁(yè)面，單擊 fileauth.txt 驗(yàn)證文件，下載到本地。

2. 在您的站點(diǎn)服務(wù)器的/www/htdocs目錄下創(chuàng)建.well-known/pki-validation子目錄。

3. 通過(guò) FTP 工具將 fileauth.txt 驗(yàn)證文件上傳到/www/htdocs/.well-known/pki-validation目錄。

4. 完成后，可通過(guò)驗(yàn)證 URL 地址（http://a.com/.well-known/pki-validation/fileauth.txt ）訪問(wèn)。

3. 檢測(cè)配置生效。您可通過(guò)瀏覽器確認(rèn)驗(yàn)證 URL 地址是否可以正常訪問(wèn)來(lái)檢測(cè)配置是否生效。

下載證書

在阿里云的證書管理那里，如果申請(qǐng)的證書審核通過(guò)，你就可以下載了，點(diǎn)擊 下載，可以選擇不同的類型，可以選擇 NGINX或 Apache 之類的服務(wù)器。根據(jù)自己網(wǎng)站的 Web 服務(wù)器類型，下載對(duì)應(yīng)的證書。解壓以后，你會(huì)得到兩個(gè)文件一個(gè)是 *.key，一個(gè)是 *.pem。

管理證書

證書審核通過(guò)后，您可以在云盾證書服務(wù)管理控制臺(tái)管理您的證書：

1. 登錄云盾證書服務(wù)管理控制臺(tái)，單擊我的證書。
   注意： 您也可以上傳您已有的數(shù)字證書在我的證書頁(yè)面進(jìn)行統(tǒng)一管理。

2. 在我的證書表中查看并管理您的數(shù)字證書。

   

配置 NGINX 的 HTTPS

有了證書，就可以去配置 Web 服務(wù)器去使用這個(gè)證書了，不同的 Web 服務(wù)器地配置方法都不太一樣。下面用 NGINX 服務(wù)器作為演示。我的域名是 ninghao.org，出現(xiàn)這個(gè)文字的地方你可以根據(jù)自己的實(shí)際情況去替換一下。

下載并上傳證書

創(chuàng)建一個(gè)存儲(chǔ)證書的目錄：

sudo?mkdir?-p?/etc/nginx/ssl/example.com

把申請(qǐng)并下載下來(lái)的證書，上傳到上面創(chuàng)建的目錄的下面。我的證書的實(shí)際位置是：

/etc/nginx/ssl/example.com/213986617020706.pem
/etc/nginx/ssl/example.com/213978317020706.key

NGINX 配置文件

你的網(wǎng)站可以同時(shí)支持 HTTP 與 HTTPS，HTTP 默認(rèn)的端口號(hào)是 80，HTTPS 的默認(rèn)端口號(hào)是 443。也就是如果你的網(wǎng)站要使用 HTTPS，你需要配置網(wǎng)站服務(wù)器，讓它監(jiān)聽 443 端口，就是用戶使用 HTTPS 發(fā)出的請(qǐng)求。

下面是一個(gè)基本的監(jiān)聽 443 端口，使用了 SSL 證書的 NGINX 配置文件，創(chuàng)建一個(gè)配置文件：

touch?/etc/nginx/ssl.example.com.conf

把下面的代碼粘貼進(jìn)去：

server?{??
????listen???????443;??
????server_name??example.com;??
????ssl??????????on;??
????root?/mnt/www/example.com;??
????index?index.html;?

????ssl_certificate???/etc/nginx/ssl/example.com/213986617020706.pem;??
????ssl_certificate_key??/etc/nginx/ssl/example.com/213978317020706.key;??
????ssl_session_timeout?5m;??
????ssl_protocols?TLSv1?TLSv1.1?TLSv1.2;??
????ssl_ciphers?AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;??
????ssl_prefer_server_ciphers?on;
}

上面的配置里，ssl_certificate 與?ssl_certificate_key 這兩個(gè)指令指定使用了兩個(gè)文件，就是你下載的證書，解壓之后看到的那兩個(gè)文件，一個(gè)是 *.pem，一個(gè)是 *.key。你要把這兩個(gè)文件上傳到服務(wù)器上的某個(gè)目錄的下面。

重新加載 NGINX 服務(wù)：

sudo?service?nginx?reload

或：

sudo?systemctl?reload?nginx