阿里云SSL证书服务实践-阿里云开发者社区

开发者社区> 叶康铭> 正文

阿里云SSL证书服务实践

简介: SSL证书服务入门实践,从购买证书、配置证书、应用证书、测试证书的方面进行演示。
+关注继续查看


0. 实践目的: 

有一台ECS服务器运行一个比较重要的网站,为了保证中间的数据传输安全需要对其加密,在阿里云平台中使用SSL证书服务来完成这个需求。


1. SSL证书服务购买:

实验用途,选择免费版本,如果是线上对安全性要求比较高的建议选择专业版、高级版、增强型的SSL证书

997e85e374ec6431b4d940d5b79544c016aed55a


2. SSL证书申请:

填写域名信息,所在地信息,域名验证方式因为云解析服务已经有yekangming.com域名,所以可以选择自动DNS验证,如果是手工DNS验证,需要手动配置配置DNS验证,填写申请人信息,CSR选择系统自动生成。

CSR知识补充:1、使用 系统生成CSR 方式,系统将自动帮您生成证书私钥,并且在证书申请成功后可直接在证书管理列表中下载您的证书和私钥。


您也可以自己生成 CSR(Certificate Signing Request)证书请求文件,并上传CSR,在证书申请成功后可直接在证书管理列表中下载您的证书。



37b2ebe77b6d0434ddb751e78df5be614b6dea46


如果是手工验证需要手动添加一条DNS TXT类型的解析记录。

276d5f989e8e86c8dc529d710c131654851c1a95

12c6b99f3a3e342cf4fa8550d77391a1229312d2

等待证书审批完成,状态会变成已签发


bb43ab96a138b9619ece4d285ed1ea3d5b1ac38cff515670cc5d51521857688ea57d0f1229af039f


3. SSL证书应用:

3.1 下载SSL证书,需要根据应用服务器类型,因为我的环境是Apache Httpd,所以我选择选下载Apache(按需选择)

e2a6dfe1b888eb362853c1d9b605d702787fe15c

3.2 解压下载的证书压缩包,并上传到ECS服务器。


3.3 修改Apache httpd配置,应用SSL证书。配置修改完成后要重启应用。(Apache Httpd请看3.3,如果是Nginx请看3.4)

3.3.1 将访问请求从HTTP跳转HTTPS

编辑站点根目录下的.htaccess进行配置,判断请求的端口是否80,如果是就匹配规则调整到HTTPS。

40938461c6e0d94f2601b91f4d6a95c197e693ff


RewriteEngine On

RewriteCond %{SERVER_PORT} 80

RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R,L]


3.3.2 启用Apache httpd SSL模块及配置

将#号删除表示启用配置

LoadModule ssl_module modules/mod_ssl.so

Include conf/extra/httpd-ssl.conf


3.3.3 配置密钥对和证书链等信息

b5b3a9a2fcc64be4373f17b19cc3bbc4f8f56478


Listen 443

SSLPassPhraseDialog  builtin

SSLSessionCache         shmcb:/var/cache/mod_ssl/scache(512000)

SSLSessionCacheTimeout  300

SSLMutex default

SSLRandomSeed startup file:/dev/urandom  256

SSLRandomSeed connect builtin

SSLCryptoDevice builtin

SSLProtocol all -SSLv2 -SSLv3

SSLHonorCipherOrder on

SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW:!RC4:

 

<VirtualHost *:443>

DocumentRoot "/data/webroot/mvp"

Servername mvp.yekangming.com

ErrorLog /var/log/httpd/mvp.yekangming.com-ssl-error.log

TransferLog /var/log/httpd/mvp.yekangming.com-ssl-access.log

LogLevel warn

SSLEngine on

SSLCertificateFile /data/certificate/mvp.yekangming.com-public.crt

SSLCertificateKeyFile /data/certificate/mvp.yekangming.com-private.key

SSLCertificateChainFile /data/certificate/chain.crt

</VirtualHost>


3.4  修改Nginx配置,配置修改完成后要重启应用。(Apache Httpd请看3.3,如果是Nginx请看3.4)

3.4.1 编辑nginx配置文件,配置http跳转https,配置443端口监听及绑定证书。

5ada250d59f4635ff7f0fd431afa54ef18824832

 server {

        listen 80;

        server_name mvp.yekangming.com;

        location / {

            rewrite ^/(.*)$ https://mvp.yekangming.com/$1 permanent;

        }

    }

 

    server {

        listen 443 ssl;

        server_name mvp.yekangming.com;

        ssl_certificate /data/certificate/mvp.yekangming.com-public.crt;

        ssl_certificate_key /data/certificate/mvp.yekangming.com-private.key;

        location / {

            root /data/webroot/mvp;

            index index.php index.html;

        }

}


4. SSL证书的访问测试

主流的火狐和谷歌浏览器完美支持SSL证书,并正常显示和访问。

c706c9a67ed3ba05eab9663a96e4287cf697a4e2

789c8461ef0b3f7de5a35250fae35db7ba3f3bf6


5. SSL证书服务使用总结:

阿里云SSL证书使用非常简单,很容易入门即可完成申请证书,配置证书,还可以支持一键部署到CDN及SLB云产品中。












版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
7906 0
配置nginx支持ssl服务器&mdash;HTTPS
下文摘自: http://docs.bigbluebutton.org/install/install.html     Configuring HTTPS on BigBlueButtonAnchor link for: configuring https on bigbluebutton ...
950 0
Confluence 6 获得 Active Directory 服务器证书
上面的步骤说明了如何在你的 Microsoft Active Directory服务器上安装 certification authority (CA)。
955 0
Confluence 6 导入 Active Directory 服务器证书 - UNIX
为了让你的应用服务器能够信任你的目录服务器。你目录服务器上导出的证书需要导入到你应用服务器的 Java 运行环境中。JDK 存储了信任的证书,这个存储信任证书的文件称为一个 keystore。
768 0
Confluence 6 导入 Active Directory 服务器证书 - Windows
为了让你的应用服务器能够信任你的目录服务器。你目录服务器上导出的证书需要导入到你应用服务器的 Java 运行环境中。JDK 存储了信任的证书,这个存储信任证书的文件称为一个 keystore。
880 0
Confluence 6 导入 Active Directory 服务器证书 - Mac OS X
为了让你的应用服务器能够信任你的目录服务器。你目录服务器上导出的证书需要导入到你应用服务器的 Java 运行环境中。JDK 存储了信任的证书,这个存储信任证书的文件称为一个 keystore。
902 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
9642 0
SSL证书导出
网络安全的问题是所有的网络用户都要面对的一个很重要的问题,SSL证书就是用来保护互联网网络安全的一个有效的措施。当然,保护互联网网络安全还有很多的有效办法,但是最被网络用户所熟知的就属SSL证书了。SSL证书包括了公用密钥和私人密钥两层保密措施,在极大程度上保护了用户的网络使用安全。
6820 0
+关注
叶康铭
深耕云原生技术布道,熟悉DevOps、敏捷开发、容器技术、微服务架构等,擅长架构设计及企业数字化转型,在跨境电商场景上有多年的工作经历,在设计高并发、高性能、高可用中架构有较深的经验积累。精益和工匠精神不断提高对于技术领域的研究和探索。
84
文章
1522
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载