开发者社区> 叶康铭> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

阿里云SSL证书服务实践

简介: SSL证书服务入门实践,从购买证书、配置证书、应用证书、测试证书的方面进行演示。
+关注继续查看


0. 实践目的: 

有一台ECS服务器运行一个比较重要的网站,为了保证中间的数据传输安全需要对其加密,在阿里云平台中使用SSL证书服务来完成这个需求。


1. SSL证书服务购买:

实验用途,选择免费版本,如果是线上对安全性要求比较高的建议选择专业版、高级版、增强型的SSL证书

997e85e374ec6431b4d940d5b79544c016aed55a


2. SSL证书申请:

填写域名信息,所在地信息,域名验证方式因为云解析服务已经有yekangming.com域名,所以可以选择自动DNS验证,如果是手工DNS验证,需要手动配置配置DNS验证,填写申请人信息,CSR选择系统自动生成。

CSR知识补充:1、使用 系统生成CSR 方式,系统将自动帮您生成证书私钥,并且在证书申请成功后可直接在证书管理列表中下载您的证书和私钥。


您也可以自己生成 CSR(Certificate Signing Request)证书请求文件,并上传CSR,在证书申请成功后可直接在证书管理列表中下载您的证书。



37b2ebe77b6d0434ddb751e78df5be614b6dea46


如果是手工验证需要手动添加一条DNS TXT类型的解析记录。

276d5f989e8e86c8dc529d710c131654851c1a95

12c6b99f3a3e342cf4fa8550d77391a1229312d2

等待证书审批完成,状态会变成已签发


bb43ab96a138b9619ece4d285ed1ea3d5b1ac38cff515670cc5d51521857688ea57d0f1229af039f


3. SSL证书应用:

3.1 下载SSL证书,需要根据应用服务器类型,因为我的环境是Apache Httpd,所以我选择选下载Apache(按需选择)

e2a6dfe1b888eb362853c1d9b605d702787fe15c

3.2 解压下载的证书压缩包,并上传到ECS服务器。


3.3 修改Apache httpd配置,应用SSL证书。配置修改完成后要重启应用。(Apache Httpd请看3.3,如果是Nginx请看3.4)

3.3.1 将访问请求从HTTP跳转HTTPS

编辑站点根目录下的.htaccess进行配置,判断请求的端口是否80,如果是就匹配规则调整到HTTPS。

40938461c6e0d94f2601b91f4d6a95c197e693ff


RewriteEngine On

RewriteCond %{SERVER_PORT} 80

RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R,L]


3.3.2 启用Apache httpd SSL模块及配置

将#号删除表示启用配置

LoadModule ssl_module modules/mod_ssl.so

Include conf/extra/httpd-ssl.conf


3.3.3 配置密钥对和证书链等信息

b5b3a9a2fcc64be4373f17b19cc3bbc4f8f56478


Listen 443

SSLPassPhraseDialog  builtin

SSLSessionCache         shmcb:/var/cache/mod_ssl/scache(512000)

SSLSessionCacheTimeout  300

SSLMutex default

SSLRandomSeed startup file:/dev/urandom  256

SSLRandomSeed connect builtin

SSLCryptoDevice builtin

SSLProtocol all -SSLv2 -SSLv3

SSLHonorCipherOrder on

SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW:!RC4:

 

<VirtualHost *:443>

DocumentRoot "/data/webroot/mvp"

Servername mvp.yekangming.com

ErrorLog /var/log/httpd/mvp.yekangming.com-ssl-error.log

TransferLog /var/log/httpd/mvp.yekangming.com-ssl-access.log

LogLevel warn

SSLEngine on

SSLCertificateFile /data/certificate/mvp.yekangming.com-public.crt

SSLCertificateKeyFile /data/certificate/mvp.yekangming.com-private.key

SSLCertificateChainFile /data/certificate/chain.crt

</VirtualHost>


3.4  修改Nginx配置,配置修改完成后要重启应用。(Apache Httpd请看3.3,如果是Nginx请看3.4)

3.4.1 编辑nginx配置文件,配置http跳转https,配置443端口监听及绑定证书。

5ada250d59f4635ff7f0fd431afa54ef18824832

 server {

        listen 80;

        server_name mvp.yekangming.com;

        location / {

            rewrite ^/(.*)$ https://mvp.yekangming.com/$1 permanent;

        }

    }

 

    server {

        listen 443 ssl;

        server_name mvp.yekangming.com;

        ssl_certificate /data/certificate/mvp.yekangming.com-public.crt;

        ssl_certificate_key /data/certificate/mvp.yekangming.com-private.key;

        location / {

            root /data/webroot/mvp;

            index index.php index.html;

        }

}


4. SSL证书的访问测试

主流的火狐和谷歌浏览器完美支持SSL证书,并正常显示和访问。

c706c9a67ed3ba05eab9663a96e4287cf697a4e2

789c8461ef0b3f7de5a35250fae35db7ba3f3bf6


5. SSL证书服务使用总结:

阿里云SSL证书使用非常简单,很容易入门即可完成申请证书,配置证书,还可以支持一键部署到CDN及SLB云产品中。












版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
ghost博客使用免费SSL证书启用HTTPS
本文介绍了GHOST博客启用HTTPS协议的方法过程
3404 0
CentOS安装阿里云免费SSL证书(Nginx版本)
申请免费证书 神奇?为什么我找不到你这个页面?别着急 正确的姿势是:倒着往上点,symantec---单个域名----免费型 申请完后需要填写表(点击补全) 如果你的域名就是阿里云解析的,那么打个勾会更方便 填写完后提交,等待几分钟就ok了。
3516 0
httpd2.4+阿里云免费ssl证书配置
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/chengyi_L/article/details/79964283 1.从阿里云网站申请CA证书,一般下载后证书为4个。
1067 0
certbot自动在ubuntu16.04的nginx上部署let's encrypt免费ssl证书
版权声明:本文可能为博主原创文章,若标明出处可随便转载。 https://blog.
1408 0
使用lets encrypt获取免费ssl证书
版权声明:本文可能为博主原创文章,若标明出处可随便转载。 https://blog.csdn.net/Jailman/article/details/79096515 lets encrypt也是一个CA,并且在众多大厂的加持下有可能成为最棒的免费颁发证书的CA,尤其是chrome的加入。
1319 0
在容器中利用Nginx-proxy实现多域名的自动反向代理、免费SSL证书
在个人的小项目或者测试环境中,配置反向代理显得十分繁琐,而借助 Nginx-proxy 的镜像,即使是小白,也能快速实现域名转发。 1.域名、IP自动转发 在开始之前,首先黑进了自家的路由器,将某个域名(甚至不存在),如 dotnet1.nginx-test.com 和 dotnet2.nginx-test.com 指向了局域网内 IP 为 "192.168.9.10" 的机器上(hosts、iptable等方式)。
2540 0
+关注
叶康铭
深耕云原生技术布道,熟悉DevOps、敏捷开发、容器技术、微服务架构等,擅长架构设计及企业数字化转型,在跨境电商场景上有多年的工作经历,在设计高并发、高性能、高可用中架构有较深的经验积累。精益和工匠精神不断提高对于技术领域的研究和探索。
文章
问答
文章排行榜
最热
最新
相关电子书
更多
CDN助力企业网站进入HTTPS时代
立即下载
移动域名解析最佳实践
立即下载
低代码开发师(初级)实战教程
立即下载