阿里云SSL证书申请与配置使用
1.阿里云SSL证书申请购买
登录阿里云账号,点击进入控制台。
进入控制台之后,点击左上角的产品与服务→点击全部→证书服务,然后点击进入证书服务控制台。
进入证书服务控制台之后,点击右上角的购买证书。
普通客户,购买证书的时候可以选择免费的DV SSL证书,预算足够的建议用OV甚至EV证书。
点击购买成功之后,返回正式服务控制台,就会看到刚刚购买的订单,然后点击右边的补全按钮,填写信息。
填写证书要使用的子域名,例如需要加证书的后台域名aaa.weisanyun.com,免费证书这里只能填写一个域名,然后点击下一步。
填写正确的个人信息,需要注意:在域名验证类型这里,会操作Linux服务器的可以选择文件方式,需要上传创建文件到服务器里;如果不会操作Linux服务器,可以选择DNS方式,需要设置一个TXT域名解析记录。这里按照文件方式继续教程,最下方的CSR生成方式,可以默认用系统生成,特殊客户需要自己生成的可以选择自己生成CSR然后填写上去就可以,完成后点击下一步。
信息填写没有问题,就可以提交审核。
提交审核成功之后,就会跳转要域名验证信息界面,如下是文件验证方式的截图,需要登录服务器进入网站根目录,创建 well-known/pki-validation目录,然后创建验证文件fileauth.txt在刚刚创建的 well-known/pki-validation目录里,创建之后,点击下面的访问地址可以在浏览器看到一串字符证明添加成功,然后等待审核通过就可以。
例如上传后如下图
审核成功后,刷新就会看到证书状态已签发,点击旁边的下载按钮,进入下载界面。
然后点击Apache标签页,点击下载证书for Apache按钮就可以下载已经签发的证书。SSL证书审核购买完成。
注意:域名方式验证的解析记录按照阿里云提示的记录值设置即可。
2.Apache服务器配置使用SSL证书
从阿里云审核签发的证书下载之后,解压出来,会看到4个文件,两个数字命名的文件和chain.pem和public.pem,需要用到的是数字命名的key文件和chain.pem、public.pem,如下图选中的3个。
使用ssh登录后台服务器,然后进入目录/opt/lampp/etc,创建一个目录ssl,然后把3个证书文件上传到目录下,文件名改成 后台域名.key、后台域名.chain.pem、后台域名.public.pem。
然后在这个目录中,编辑配置文件httpd.conf,找到httpd-ssl.conf这行确保取消了注释,然后保存。
进入目录/opt/lampp/etc/extra,编辑配置文件httpd-vhosts.conf,添加SSL的vhosts配置,里面的域名替换成后台域名,里面需要用到刚刚上传的SSL证书,如果没有按照教程上传,对应修改。注意添加对应的反向代理,否则渠道后台、APP后台可能无法访问。
<VirtualHost *:443>
编辑配置文件httpd-ssl.conf,确保SSL Virtual Host Context后面一般没有其他的virtualhost配置,如果客户自己手动添加过的,请把它们复制迁移到httpd-vhosts.conf里,防止其他的SSLvhost干扰域名目录和证书绑定关系。
编辑完配置文件后,执行命令/opt/lampp/bin/apachectl -t检查配置文件是否有问题,提示OK,就可以执行命令lampp reloadapache重载配置,或者直接lampp restartapache重启。
注意:服务器的安全组规则需要放行443端口,否则无法访问。
3.阿里云SLB负载均衡使用SSL证书
进入负载均衡控制台,在实例管理中,找到负载均衡所在地域,然后点击右边的管理按钮进入管理界面。
点击监听,然后点击添加监听按钮创建一个443端口监听。
前端选择HTTPS协议,端口443,后端端口80,下方的服务器证书如果之前已经添加,可以下拉选择,否则点击旁边的新建证书。
证书名称可以用填写域名,然后证书region可以全选,就可以所有地域的负载均衡都可以使用,也可以直接使用默认选择的当前负载均衡所在地域;下面的证书内容填写,首先从阿里云证书控制台中下载Apache服务器的证书,解压得到的4个证书文件中,找到文件名为数字.pem的文件,文件可以用记事本打开,复制后粘贴到里面的输入文本框中;私钥,在得到4个证书文件中,找到文件名为数字.key的文件,文件可以用记事本打开,复制后粘贴到里面的输入文本框中;最后,点击确认添加证书。
注意:如果用其他地方购买的SSL证书,这里使用的必须是PEM格式证书。相关格式转换可以参考链接:
https://help.aliyun.com/document_detail/32335.html
添加证书后,就可以选择并且使用,然后点击下一步继续设置负载均衡。
健康检查可以直接关闭,如果要开启,域名需要填写证书的域名。其他默认,然后确认完成设置。
确认之后,等状态变成正常,就可以访问测试,状态变化需要等待30秒左右。负载均衡添加完成。
4.阿里云CDN内容分发网络使用SSL证书
如果购买的是阿里云SSL证书,添加到阿里云CDN就会非常方便。首先进入CDN控制台,找到需要添加SSL正式的加速域名,点击旁边的配置。
滚动网页,找到HTTPS设置大类,然后点击旁边的修改配置按钮。
选中开启状态按钮,在阿里云购买了证书,在选中证书的时候就可以直接选中,其他证书,把对应的pem和私钥内容复制粘贴到下方的文本输入框就可以。
下方的强制跳转,可以按需设置,一般可以使用默认选项。选了HTTPS->HTTP就是访问HTTPS协议会强制用户去访问HTTP协议的链接,HTTP->HTTPS则相反。
点击“确定”设置好后,就可以看到HTTPS大类信息变化。设置了CDN的HTTPS证书,需要等CDN节点同步配置,一般快则30分钟,慢则1小时。至此完成CDN设置。
开通成功后,需要到登陆微信商户平台—产品中心—开发配置,重新配置微信支付的支付授权目录。
阿里云SSL认证申请与配置操作说明完成,如有疑问请联系在线客服