正式認證快速入門

下文以CentOS 8.0 64位作業系統、Nginx 1.14.2為例介紹。不同版本的作業系統或Web伺服器，部署操作可能有所差異，如有問題，請聯絡商務經理進行諮詢。關於 SSL 憑證如何部署到其他 Web 服務器（如 Apache、Tomcat和 IIS 等），請參見手動部署認證至Web應用伺服器。

1. 登入數位憑證管理服務控制台。

2. 在左側導覽列，選擇認證管理 > SSL認證管理。

3. 在正式認證頁簽，定位到目標認證，在操作列，單擊更多，然後選擇下載頁簽。

4. 在伺服器類型為Nginx的操作列，單擊下載。

   

5. 解壓縮已下載的SSL認證壓縮包。

   根據您在提交認證申請時選擇的CSR產生方式，解壓縮獲得的檔案不同，具體如下表所示。

   CSR產生方式	認證壓縮包包含的檔案
   系統產生	認證檔案（PEM格式）：Nginx支援安裝PEM格式的檔案，PEM格式的認證檔案是採用Base64編碼的文字檔，且包含完整憑證鏈結。解壓後，該檔案以認證ID_認證綁定網域名稱命名。 私密金鑰檔案（KEY格式）：預設以認證綁定網域名稱命名。
   手動填寫	如果您填寫的是通過數位憑證管理服務控制台建立的CSR，下載後包含的認證檔案與系統產生的一致。 如果您填寫的不是通過數位憑證管理服務控制台建立的CSR，下載後只包括認證檔案（PEM格式），不包含認證密碼或私密金鑰檔案。您可以通過認證工具，將認證檔案和您持有的認證密碼或私密金鑰檔案轉換成所需格式。轉換認證格式的具體操作，請參見認證格式轉換。

6. 登入到伺服器，進入終端，執行以下命令，在Nginx的conf目錄下建立一個用於存放認證的目錄。

   #進入Nginx預設設定檔目錄。該目錄為手動編譯安裝Nginx時的預設目錄，如果您修改過預設安裝目錄或使用其他方式安裝，請根據實際配置調整。
   cd /usr/local/nginx/conf  
   #建立認證目錄，命名為cert。
   mkdir cert  

7. 將認證檔案和私密金鑰檔案上傳到Nginx伺服器的認證目錄（/usr/local/nginx/conf/cert）。

   說明

   您可以使用遠程登入工具附帶的本地檔案上傳功能，上傳檔案。例如PuTTY、Xshell或WinSCP等。如果您使用的是阿里雲Elastic Compute Service，上傳檔案具體操作，請參見使用遠端桌面或Windows APP向Windows執行個體傳輸檔案或上傳檔案到Linux雲端服務器。

8. 編輯Nginx設定檔nginx.conf，修改與認證相關的配置。

   1. 執行以下命令，開啟設定檔。

      sudo vim /usr/local/nginx/conf/nginx.conf

      重要

      nginx.conf預設儲存在/usr/local/nginx/conf目錄下。如果您修改過nginx.conf的位置，可以執行nginx -t，查看nginx的設定檔路徑，並將/usr/local/nginx/conf/nginx.conf進行替換。

   2. 在nginx.conf中定位到HTTPS server屬性配置。

      

      說明

      如果確定nginx.conf或include指令所引用的檔案不存在上圖server塊，請您自行手動進行添加。

   3. 刪除行首注釋符號#，並參考如下樣本進行修改。

      server {
           #HTTPS的預設訪問連接埠443。
           #如果未在此處配置HTTPS的預設訪問連接埠，可能會造成Nginx無法啟動。
           listen 443 ssl;
           
           #填寫認證綁定的網域名稱
           server_name <YOURDOMAIN>;
       
           #填寫認證檔案絕對路徑
           ssl_certificate cert/<cert-file-name>.pem;
           #填寫認證私密金鑰檔案絕對路徑
           ssl_certificate_key cert/<cert-file-name>.key;
       
           ssl_session_cache shared:SSL:1m;
           ssl_session_timeout 5m;
      	 
           #自訂設定使用的TLS協議的類型以及加密套件（以下為配置樣本，請您自行評估是否需要配置）
           #TLS協議版本越高，HTTPS通訊的安全性越高，但是相較於低版本TLS協議，高版本TLS協議對瀏覽器的相容性較差。
           ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
           ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
      
           #表示優先使用服務端加密套件。預設開啟
           ssl_prefer_server_ciphers on;
       
       
          location / {
                 root html;
                 index index.html index.htm;
          }
      }

   4. 可選：設定HTTP請求自動跳轉到HTTPS。

      如果您希望所有的HTTP訪問自動跳轉到HTTPS頁面，可通過rewrite指令重新導向到HTTPS。

      重要

      請在nginx.conf檔案中定位到http server的配置代碼塊，新增配置重新導向的代碼；

      如果找不到上述程式碼片段，可以將以下程式碼片段放置在nginx.conf檔案中server {}程式碼片段後面，即設定HTTP請求自動跳轉到HTTPS後，nginx.conf檔案中會存在兩個server {}程式碼片段。

      server {
          listen 80;
          #填寫認證綁定的網域名稱
          server_name <YOURDOMAIN>;
          #將所有HTTP請求通過rewrite指令重新導向到HTTPS。
          rewrite ^(.*)$ https://$host$1;
          location / {
              index index.html index.htm;
          }
      }

      配置效果如下圖所示：

      

9. 執行以下命令，重啟Nginx服務。

   #進入Nginx服務的可執行目錄。
   cd /usr/local/nginx/sbin
   #重新載入設定檔。
   ./nginx -s reload

   說明

   • 報錯the "ssl" parameter requires ngx_http_ssl_module：您需要重新編譯Nginx並在編譯安裝的時候加上--with-http_ssl_module配置。

   • 報錯"/cert/3970497_demo.aliyundoc.com.pem":BIO_new_file() failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/cert/3970497_demo.aliyundoc.com.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)：您需要去掉認證相對路徑最前面的/。例如，您需要去掉/cert/cert-file-name.pem最前面的/，使用正確的相對路徑cert/cert-file-name.pem。

https://yourdomain   #需要將yourdomain替換成認證綁定的網域名稱。

SSL認證簽發成功後，您可以將認證部署到您的Web伺服器或阿里雲產品中。本文將以阿里雲內容分發網路CDN為例，介紹如何將認證部署至該雲產品。如果您想進一步瞭解將認證部署到其他雲產品，或部署到Web伺服器中的操作，請參見部署SSL認證。

1. 登入數位憑證管理服務控制台。

2. 在左側導覽列，選擇認證管理 > SSL認證管理。

3. 在正式認證頁簽，定位到您已簽發的認證，在操作列，單擊部署。

4. 在選擇資源引導頁，選擇內容分髮網絡(CDN)和對應資源，單擊預覽並提交。

   系統會自動識別並拉取所有雲產品中的資源，如果您在對應的雲產品中未找到目標資源，請在資源總數地區確認資源是否已完成同步，如果資源正在同步中（如圖示灰色狀態），請您耐心等待資源同步完成。資源同步時間取決於您的當前雲產品的資源數。

   

5. 在任務預覽面板，確認部署的認證執行個體和雲產品資源資訊，如無問題，單擊提交。

   預覽頁面會顯示對應雲產品匹配的認證個數和消耗的部署次數。認證匹配個數為0表示您選擇的認證與雲產品資源不匹配，會導致部署失敗，請您仔細核對選擇的認證。