阿裏雲免費(fèi)SSL證書(shū)部署網站HTTPS

　　随着移動互聯網的快速發展，網絡安全問題日益突出。如何保護用戶與網站交互信息的安全成爲了很多企業關注的問題。HTTPS能有效保護用戶的隐私以及數據安全，下(xià)面小(xiǎo)編就介紹如何使用免費(fèi)的DV證書(shū)來部署HTTPS。

　　由于阿裏雲在國内的名聲，所以用阿裏雲SSL證書(shū)似乎變得理所當然。但是阿裏雲的CA證書(shū)相對較貴，比起其他渠道購買貴上好幾倍。但是好在阿裏雲提供了免費(fèi)版本的DV證書(shū)，并且每個阿裏雲賬戶能申請多達20個免費(fèi)DV證書(shū)，一(yī)般情況下(xià)已經足夠用了。

申請證書(shū)

登錄：阿裏雲控制台，産品與服務，證書(shū)服務，購買證書(shū)。
購買：證書(shū)類型選擇 免費(fèi)型DV SSL，然後完成購買。
補全：在 我(wǒ)的證書(shū) 控制台，找到購買的證書(shū)，在操作欄裏選擇 補全。填寫證書(shū)相關信息。
域名驗證：可以選擇 DNS，如果域名用了阿裏雲的 DNS 服務，再勾選一(yī)下(xià) 證書(shū)綁定的域名在 阿裏雲的雲解析。
上傳：系統生(shēng)成 CSR，點一(yī)下(xià) 創建。
提交審核。

如果一(yī)切正常，10 分(fēn)鍾左右，申請的證書(shū)就會審核通過。

申請證書(shū)要注意的是驗證域名，就是你要驗證你想綁定證書(shū)的域名是你自己的，如果選擇使用 DNS 驗證，你需要在域名的管理裏，添加一(yī)條特定的 DNS 記錄，這樣就可以證名這個域名是你自己的。使用了阿裏雲的雲解析服務，這個步驟可以自動完成，會自動爲你添加一(yī)條 DNS 驗證的記錄。

輸入證書(shū)要綁定的域名：

填寫個人信息：

域名驗證類型可以根據實際的情況選擇，一(yī)般來說選擇“文件”的方式驗證會簡單直接一(yī)下(xià)。

阿裏雲雲盾證書(shū)服務提供了兩種驗證方式：

DNS 驗證方式

DNS 驗證方式一(yī)般需要由您的域名管理人員(yuán)進行相關操作。請按照您的證書(shū)訂單中(zhōng)的進度提示，在您的域名管理系統中(zhōng)進行相應配置。

選擇 DNS 域名授權驗證方式，您需要到您的域名解析服務商(shāng)（如萬網、新網、DNSPod等）提供的系統中(zhōng)進行配置。例如，域名托管在阿裏雲，則需要到雲解析DNS控制台進行相關配置。

注意： 該 DNS 配置記錄在證書(shū)頒發或吊銷後方可删除。

操作步驟

1. 登錄 雲盾證書(shū)服務管理控制台，在 我(wǒ)的訂單 列表中(zhōng)選擇您已提交審核申請的證書(shū)訂單，單擊 進度，即可查看域名授權配置相關信息（如需要配置的 DNS 的主機記錄，記錄值和記錄類型等）。

   注意：在您提交審核申請後，系統可能需要幾分(fēn)鍾生(shēng)成相關域名授權配置信息。

   

2. 到您的域名解析管理系統中(zhōng)根據域名授權配置要求添加一(yī)條記錄。請務必正确填寫主機記錄、記錄值和記錄類型，注意不要把主機記錄和記錄值配置反了。

   提示：雲盾證書(shū)服務提供的主機記錄是全域名的，如果您的域名管理系統不支持全域名主機記錄請去(qù)掉根域名的後綴部分(fēn)即可。

   說明： 如果您的域名托管在阿裏雲的雲解析服務且勾選了 授權系統自動添加一(yī)條記錄以完成域名授權驗證 選項，您無需在域名解析管理控制台中(zhōng)進行任何操作。您可直接在審核進度頁面查看域名授權驗證推送結果：

• 如果推送成功，您隻需等待證書(shū)頒發即可。

• 如果推送失敗，則需要重新進行手動配置。

文件驗證方式

文件驗證方式一(yī)般需要由您的站點管理人員(yuán)進行操作。請按照您的證書(shū)訂單中(zhōng)的進度提示，将文件下(xià)載到本地電(diàn)腦中(zhōng)，然後通過工(gōng)具（如 FTP）上傳到您服務器的指定目錄中(zhōng)。

注意： 該驗證文件在證書(shū)頒發或吊銷後方可删除。

操作步驟

1. 登錄 雲盾證書(shū)服務管理控制台，在 我(wǒ)的訂單 列表中(zhōng)選擇您已提交審核申請的證書(shū)訂單，單擊 進度，即可查看域名授權配置相關信息（如需要上傳的驗證文件及指定的服務器目錄等）。

   

2. 根據配置要求，将指定的驗證文件下(xià)載到本地電(diàn)腦中(zhōng)，然後通過工(gōng)具（如 FTP）上傳到您服務器的指定目錄中(zhōng)。

   例如，您的網站域名爲 a.com，站點所在服務器的磁盤目錄爲 /www/htdocs。根據上述文件驗證配置要求，您需要進行如下(xià)配置：

1. 在進度查詢頁面，單擊 fileauth.txt 驗證文件，下(xià)載到本地。

2. 在您的站點服務器的/www/htdocs目錄下(xià)創建.well-known/pki-validation子目錄。

3. 通過 FTP 工(gōng)具将 fileauth.txt 驗證文件上傳到/www/htdocs/.well-known/pki-validation目錄。

4. 完成後，可通過驗證 URL 地址（http://a.com/.well-known/pki-validation/fileauth.txt ）訪問。

3. 檢測配置生(shēng)效。您可通過浏覽器确認驗證 URL 地址是否可以正常訪問來檢測配置是否生(shēng)效。

下(xià)載證書(shū)

在阿裏雲的證書(shū)管理那裏，如果申請的證書(shū)審核通過，你就可以下(xià)載了，點擊 下(xià)載，可以選擇不同的類型，可以選擇 NGINX或 Apache 之類的服務器。根據自己網站的 Web 服務器類型，下(xià)載對應的證書(shū)。解壓以後，你會得到兩個文件一(yī)個是 *.key，一(yī)個是 *.pem。

管理證書(shū)

證書(shū)審核通過後，您可以在雲盾證書(shū)服務管理控制台管理您的證書(shū)：

1. 登錄雲盾證書(shū)服務管理控制台，單擊我(wǒ)的證書(shū)。
   注意： 您也可以上傳您已有的數字證書(shū)在我(wǒ)的證書(shū)頁面進行統一(yī)管理。

2. 在我(wǒ)的證書(shū)表中(zhōng)查看并管理您的數字證書(shū)。

   

配置 NGINX 的 HTTPS

有了證書(shū)，就可以去(qù)配置 Web 服務器去(qù)使用這個證書(shū)了，不同的 Web 服務器地配置方法都不太一(yī)樣。下(xià)面用 NGINX 服務器作爲演示。我(wǒ)的域名是 ninghao.org，出現這個文字的地方你可以根據自己的實際情況去(qù)替換一(yī)下(xià)。

下(xià)載并上傳證書(shū)

創建一(yī)個存儲證書(shū)的目錄：

sudo mkdir -p /etc/nginx/ssl/example.com

把申請并下(xià)載下(xià)來的證書(shū)，上傳到上面創建的目錄的下(xià)面。我(wǒ)的證書(shū)的實際位置是：

/etc/nginx/ssl/example.com/213986617020706.pem
/etc/nginx/ssl/example.com/213978317020706.key

NGINX 配置文件

你的網站可以同時支持 HTTP 與 HTTPS，HTTP 默認的端口号是 80，HTTPS 的默認端口号是 443。也就是如果你的網站要使用 HTTPS，你需要配置網站服務器，讓它監聽(tīng) 443 端口，就是用戶使用 HTTPS 發出的請求。

下(xià)面是一(yī)個基本的監聽(tīng) 443 端口，使用了 SSL 證書(shū)的 NGINX 配置文件，創建一(yī)個配置文件：

touch /etc/nginx/ssl.example.com.conf

把下(xià)面的代碼粘貼進去(qù)：

server {  
    listen       443;  
    server_name  example.com;  
    ssl          on;  
    root /mnt/www/example.com;  
    index index.html; 

    ssl_certificate   /etc/nginx/ssl/example.com/213986617020706.pem;  
    ssl_certificate_key  /etc/nginx/ssl/example.com/213978317020706.key;  
    ssl_session_timeout 5m;  
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;  
    ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;  
    ssl_prefer_server_ciphers on;
}

上面的配置裏，ssl_certificate 與 ssl_certificate_key 這兩個指令指定使用了兩個文件，就是你下(xià)載的證書(shū)，解壓之後看到的那兩個文件，一(yī)個是 *.pem，一(yī)個是 *.key。你要把這兩個文件上傳到服務器上的某個目錄的下(xià)面。

重新加載 NGINX 服務：

sudo service nginx reload

或：

sudo systemctl reload nginx