阿里云免費SSL證書部署網(wǎng)站HTTPS

　　隨著移動互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)安全問題日益突出。如何保護用戶與網(wǎng)站交互信息的安全成為了很多企業(yè)關(guān)注的問題。HTTPS能有效保護用戶的隱私以及數(shù)據(jù)安全，下面小編就介紹如何使用免費的DV證書來部署HTTPS。

　　由于阿里云在國內(nèi)的名聲，所以用阿里云SSL證書似乎變得理所當然。但是阿里云的CA證書相對較貴，比起其他渠道購買貴上好幾倍。但是好在阿里云提供了免費版本的DV證書，并且每個阿里云賬戶能申請多達20個免費DV證書，一般情況下已經(jīng)足夠用了。

申請證書

登錄：阿里云控制臺，產(chǎn)品與服務(wù)，證書服務(wù)，購買證書。
購買：證書類型選擇 免費型DV SSL，然后完成購買。
補全：在 我的證書 控制臺，找到購買的證書，在操作欄里選擇 補全。填寫證書相關(guān)信息。
域名驗證：可以選擇 DNS，如果域名用了阿里云的 DNS 服務(wù)，再勾選一下 證書綁定的域名在 阿里云的云解析。
上傳：系統(tǒng)生成 CSR，點一下 創(chuàng)建。
提交審核。

如果一切正常，10 分鐘左右，申請的證書就會審核通過。

申請證書要注意的是驗證域名，就是你要驗證你想綁定證書的域名是你自己的，如果選擇使用 DNS 驗證，你需要在域名的管理里，添加一條特定的 DNS 記錄，這樣就可以證名這個域名是你自己的。使用了阿里云的云解析服務(wù)，這個步驟可以自動完成，會自動為你添加一條 DNS 驗證的記錄。

輸入證書要綁定的域名：

填寫個人信息：

域名驗證類型可以根據(jù)實際的情況選擇，一般來說選擇“文件”的方式驗證會簡單直接一下。

阿里云云盾證書服務(wù)提供了兩種驗證方式：

DNS 驗證方式

DNS 驗證方式一般需要由您的域名管理人員進行相關(guān)操作。請按照您的證書訂單中的進度提示，在您的域名管理系統(tǒng)中進行相應(yīng)配置。

選擇 DNS 域名授權(quán)驗證方式，您需要到您的域名解析服務(wù)商（如萬網(wǎng)、新網(wǎng)、DNSPod等）提供的系統(tǒng)中進行配置。例如，域名托管在阿里云，則需要到云解析DNS控制臺進行相關(guān)配置。

注意： 該 DNS 配置記錄在證書頒發(fā)或吊銷后方可刪除。

操作步驟

1. 登錄 云盾證書服務(wù)管理控制臺，在 我的訂單 列表中選擇您已提交審核申請的證書訂單，單擊 進度，即可查看域名授權(quán)配置相關(guān)信息（如需要配置的 DNS 的主機記錄，記錄值和記錄類型等）。

   注意：在您提交審核申請后，系統(tǒng)可能需要幾分鐘生成相關(guān)域名授權(quán)配置信息。

   

2. 到您的域名解析管理系統(tǒng)中根據(jù)域名授權(quán)配置要求添加一條記錄。請務(wù)必正確填寫主機記錄、記錄值和記錄類型，注意不要把主機記錄和記錄值配置反了。

   提示：云盾證書服務(wù)提供的主機記錄是全域名的，如果您的域名管理系統(tǒng)不支持全域名主機記錄請去掉根域名的后綴部分即可。

   說明： 如果您的域名托管在阿里云的云解析服務(wù)且勾選了 授權(quán)系統(tǒng)自動添加一條記錄以完成域名授權(quán)驗證 選項，您無需在域名解析管理控制臺中進行任何操作。您可直接在審核進度頁面查看域名授權(quán)驗證推送結(jié)果：

• 如果推送成功，您只需等待證書頒發(fā)即可。

• 如果推送失敗，則需要重新進行手動配置。

文件驗證方式

文件驗證方式一般需要由您的站點管理人員進行操作。請按照您的證書訂單中的進度提示，將文件下載到本地電腦中，然后通過工具（如 FTP）上傳到您服務(wù)器的指定目錄中。

注意： 該驗證文件在證書頒發(fā)或吊銷后方可刪除。

操作步驟

1. 登錄 云盾證書服務(wù)管理控制臺，在 我的訂單 列表中選擇您已提交審核申請的證書訂單，單擊 進度，即可查看域名授權(quán)配置相關(guān)信息（如需要上傳的驗證文件及指定的服務(wù)器目錄等）。

   

2. 根據(jù)配置要求，將指定的驗證文件下載到本地電腦中，然后通過工具（如 FTP）上傳到您服務(wù)器的指定目錄中。

   例如，您的網(wǎng)站域名為 a.com，站點所在服務(wù)器的磁盤目錄為 /www/htdocs。根據(jù)上述文件驗證配置要求，您需要進行如下配置：

1. 在進度查詢頁面，單擊 fileauth.txt 驗證文件，下載到本地。

2. 在您的站點服務(wù)器的/www/htdocs目錄下創(chuàng)建.well-known/pki-validation子目錄。

3. 通過 FTP 工具將 fileauth.txt 驗證文件上傳到/www/htdocs/.well-known/pki-validation目錄。

4. 完成后，可通過驗證 URL 地址（http://a.com/.well-known/pki-validation/fileauth.txt ）訪問。

3. 檢測配置生效。您可通過瀏覽器確認驗證 URL 地址是否可以正常訪問來檢測配置是否生效。

下載證書

在阿里云的證書管理那里，如果申請的證書審核通過，你就可以下載了，點擊 下載，可以選擇不同的類型，可以選擇 NGINX或 Apache 之類的服務(wù)器。根據(jù)自己網(wǎng)站的 Web 服務(wù)器類型，下載對應(yīng)的證書。解壓以后，你會得到兩個文件一個是 *.key，一個是 *.pem。

管理證書

證書審核通過后，您可以在云盾證書服務(wù)管理控制臺管理您的證書：

1. 登錄云盾證書服務(wù)管理控制臺，單擊我的證書。
   注意： 您也可以上傳您已有的數(shù)字證書在我的證書頁面進行統(tǒng)一管理。

2. 在我的證書表中查看并管理您的數(shù)字證書。

   

配置 NGINX 的 HTTPS

有了證書，就可以去配置 Web 服務(wù)器去使用這個證書了，不同的 Web 服務(wù)器地配置方法都不太一樣。下面用 NGINX 服務(wù)器作為演示。我的域名是 ninghao.org，出現(xiàn)這個文字的地方你可以根據(jù)自己的實際情況去替換一下。

下載并上傳證書

創(chuàng)建一個存儲證書的目錄：

sudo?mkdir?-p?/etc/nginx/ssl/example.com

把申請并下載下來的證書，上傳到上面創(chuàng)建的目錄的下面。我的證書的實際位置是：

/etc/nginx/ssl/example.com/213986617020706.pem
/etc/nginx/ssl/example.com/213978317020706.key

NGINX 配置文件

你的網(wǎng)站可以同時支持 HTTP 與 HTTPS，HTTP 默認的端口號是 80，HTTPS 的默認端口號是 443。也就是如果你的網(wǎng)站要使用 HTTPS，你需要配置網(wǎng)站服務(wù)器，讓它監(jiān)聽 443 端口，就是用戶使用 HTTPS 發(fā)出的請求。

下面是一個基本的監(jiān)聽 443 端口，使用了 SSL 證書的 NGINX 配置文件，創(chuàng)建一個配置文件：

touch?/etc/nginx/ssl.example.com.conf

把下面的代碼粘貼進去：

server?{??
????listen???????443;??
????server_name??example.com;??
????ssl??????????on;??
????root?/mnt/www/example.com;??
????index?index.html;?

????ssl_certificate???/etc/nginx/ssl/example.com/213986617020706.pem;??
????ssl_certificate_key??/etc/nginx/ssl/example.com/213978317020706.key;??
????ssl_session_timeout?5m;??
????ssl_protocols?TLSv1?TLSv1.1?TLSv1.2;??
????ssl_ciphers?AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;??
????ssl_prefer_server_ciphers?on;
}

上面的配置里，ssl_certificate 與?ssl_certificate_key 這兩個指令指定使用了兩個文件，就是你下載的證書，解壓之后看到的那兩個文件，一個是 *.pem，一個是 *.key。你要把這兩個文件上傳到服務(wù)器上的某個目錄的下面。

重新加載 NGINX 服務(wù)：

sudo?service?nginx?reload

或：

sudo?systemctl?reload?nginx