通過數位憑證管理服務購買並簽發SSL認證後,您需要將已簽發的SSL認證安裝至伺服器,才能使SSL認證生效。本文介紹如何下載及安裝SSL認證。
SSL認證安裝情境
情境 | 說明 |
在伺服器安裝SSL認證 | 表示在提供Web服務的伺服器上配置下載後的SSL認證,並開啟HTTPS監聽,實現用戶端與伺服器之間的HTTPS通訊。具體操作,請參見下載SSL認證到本地和在伺服器安裝SSL認證 |
下載SSL認證到本地
不同類型的伺服器支援配置的SSL認證格式不同。為了便於您安裝SSL認證,數位憑證管理服務提供了適用於各種伺服器(例如,Nginx、Spring Boot、Apache Tomcat、Apache(httpd)、Internet Information Services)的SSL認證壓縮包,供您直接下載使用(無需手動轉換SSL認證格式)。如果您不清楚您的伺服器類型,需要查看伺服器類型,請參見如何查看伺服器類型?。
如果您已經通過數位憑證管理服務購買並簽發了SSL認證,可以執行以下步驟,將已簽發的阿里雲SSL認證下載到本地。
為了保證資料安全性,您上傳到數位憑證管理服務進行統一管理的第三方認證不支援下載。
登入數位憑證管理服務控制台。
在左側導覽列,選擇。
在正式認證頁簽下,定位到要下載的SSL認證,單擊操作列下載。
不同類型SSL認證的下載操作相同,本文操作描述以下載正式的SSL認證為例。
說明只有狀態為已簽發、即將到期、已到期的SSL認證支援下載操作,否則SSL認證操作列下不會顯示下載按鈕。
在認證下載面板,定位到目標伺服器,在操作列,單擊下載。
數位憑證管理服務已經將您的SSL認證自動轉換成適用於不同伺服器的格式並壓縮。完成下載後,您可以解壓對應SSL認證的壓縮包獲得對應的SSL認證檔案,解壓後的非國密演算法認證檔案說明如下表所示。
說明國密演算法認證安裝通常是PEM格式,下載後通常包含四個檔案:
簽署憑證:server_sign.pem和server_sign.key。
加密認證:server_enc.pem和server_enc.key。
如果下載後沒有適合您伺服器的認證格式,您可以通過認證格式轉換工具轉換認證格式。轉換認證格式的具體操作,請參見認證格式轉換。
如果業務使用者通過用戶端瀏覽器訪問伺服器,則無需關注根憑證,因為根憑證已經內建在用戶端瀏覽器。如果業務使用者通過Java等Client Access Server,由於用戶端沒有內建根憑證和中間認證,您可能需要下載根憑證和中間認證,具體操作,請參見下載根憑證和中間認證。
伺服器類型
認證檔案說明
Tomcat
通常安裝PFX、JKS格式的認證檔案,JKS檔案請在JKS列下載。PFX檔案說明如下:
domain name.pfx:認證檔案,格式為PFX。
pfx-password.txt:認證保護密碼。
說明如果您在提交認證申請時,未將CSR產生方式設定為系統產生,則您下載的認證壓縮包中不包含TXT密碼檔案。
Apache
通常安裝CRT格式的認證檔案。檔案說明如下:
domain name_public.crt:認證檔案。
domain name_chain.crt:憑證鏈結檔案。
domain name.key:認證私密金鑰檔案。
Nginx
通常安裝PEM格式的認證檔案。檔案說明如下:
domain name.pem:認證檔案。
domain name.key:認證私密金鑰檔案。
IIS
通常安裝PFX格式的認證檔案。檔案說明如下:
domain name.pfx:認證檔案。
pfx-password.txt:認證保護密碼。
JKS
通常安裝JKS格式的認證檔案。檔案說明如下:
domain name.jks:認證檔案。
jks-password.txt:認證保護密碼。
其他
PEM格式的認證檔案。檔案說明如下:
domain name.pem:認證檔案,格式為PEM。
domain name.key:認證私密金鑰檔案。
在伺服器安裝SSL認證
您需要通過數位憑證管理服務控制台下載SSL認證到本地,並將已下載的SSL認證上傳到伺服器並修改伺服器的相關配置,才能使SSL認證生效。如何下載SSL認證,請參見下載SSL認證到本地。
不同伺服器安裝SSL認證的具體操作不同。以下內容介紹了在伺服器上安裝SSL認證的方法,供您參考。
如果您的伺服器類型不在以下範圍,或者您不熟悉伺服器配置操作,請聯絡商務經理進行諮詢
Web伺服器類型 | 認證安裝方法 |
Nginx、Tengine | |
Spring Boot | |
Apache Tomcat 7(及以下版本) | |
Apache Tomcat 8(及以上版本) | |
Apache(httpd) | |
Apache 2 | |
IIS | |
Jetty | |
GlassFish |
在阿里雲產品安裝SSL認證
阿里雲產品可以通過數位憑證管理服務控制台直接部署SSL認證,無需您下載SSL認證。僅以下阿里雲產品支援通過數位憑證管理服務控制台部署SSL認證:Serverless應用引擎-網關路由、微服務引擎-雲原生網關、API Gateway、Global AccelerationGA、Function ComputeFC、Object Storage Service、Web Application Firewall(WAF)、應用型負載平衡ALB、網路型負載平衡NLB、內容分發網路CDN、全站加速DCDN、DDoS高防、Simple Application Server、Elastic Compute Service。具體操作,請參見雲產品部署(不含雲端服務器)和雲端服務器部署。
如果您的阿里雲產品不在數位憑證管理服務支援部署的範圍內或需要部署國密認證(僅CDN、DCDN和DDos防護產品支援),請您聯絡阿里雲產品對應的商務經理諮詢或參考對應的阿里雲產品協助文檔部署。以下為您列舉部分雲產品部署SSL認證的操作指導,供您參考。
雲產品 | 部署文檔 |
CDN(國密認證部署) | |
全站加速 DCDN(國密認證部署) | |
DDoS 防護(國密認證部署) |
部署SSL認證時,如遇到問題,請聯絡商務經理進行諮詢。