阿里云ECS云服务器怎么安装配置SSL证书

阿里云ECS云服务器安装配置SSL证书教程http://zhanneibaiducom/cse/searchq=%E9%98%BF%E9%87%8C%E4%BA%91ECS%E4%BA%91%E6%9C%8D%E5%8A%A1%E5%99%A8%E6%80%8E%E4%B9%88%E5%AE%89%E8%A3%85%E9%85%8D%E7%BD%AESSL%E8%AF%81%E4%B9%A6&click=1&entry=1&s=9445731567098915795&nsid=

一、安装SSL证书的环境11 SSl证书安装环境简介

Linux服务器一台，

阿里云平台（SLB/CDN/WAF）

SSL证书一张（备注：本指南使用testwosigncom域名OV SSL证书进行操作,通用其它版本证书）

12网络环境要求

请确保站点是一个合法的外网可以访问的域名地址，可以正常通过或http：//XXX进行正常访问。

二、SSL证书的安装21获取SSl证书

成功在沃通申请证书后，会得到一个有密码的压缩包文件，输入证书密码后解压得到五个文件：for Apache、for IIS、for Ngnix、for Other，这个是证书的几种格式，阿里云上需要用到for nginx证书。

22安装SSL证书打开证书配置面板

SLB ：负载均衡--证书管理--创建证书

https://helpaliyuncom/document c3233762683h0Y0x

CDN ：CDN域名列表页--选择域名进入管理页面--基本信息--域名信息--HTTPS安全加速

https://helpaliyuncom/document c271146112L3uepl

WAF ：云盾--Web应用防火墙--点击域名https协议后面的“未上传证书”

一、安装SSL证书的环境 11 SSl证书安装环境简介 Linux服务器一台， 阿里云平台（SLB/CDN/WAF） SSL证书一张（备注：本指南使用testwosigncom域名OV SSL证书进行操作,通用其它版本证书） 12网络环境要求 请确保站点是一个合法的外网可以访问的域名地址，可以正常通过或http：//XXX进行正常访问。

二、SSL证书的安装21获取SSl证书 成功在沃通申请证书后，会得到一个有密码的压缩包文件，输入证书密码后解压得到五个文件：for Apache、for IIS、for Ngnix、for Other，这个是证书的几种格式，阿里云上需要用到for nginx证书。 22安装SSL证书打开证书配置面板 SLB ：负载均衡--证书管理--创建证书 https://helpaliyuncom/document c3233762683h0Y0x CDN ：CDN域名列表页--选择域名进入管理页面--基本信息--域名信息--HTTPS安全加速 https://helpaliyuncom/document c271146112L3uepl WAF ：云盾--Web应用防火墙--点击域名https协议后面的“未上传证书”

第二步：解压得到fornginx看到2个文件，使用notepad++、UltraEdit、写字板（不要使用记事本） 将domaincomcrt文件打开，删除-----END CERTIFICATE-----后面的空行（一共三个） -----END CERTIFICATE----- （删除这个空行） -----BEGIN CERTIFICATE----- 将crt文件中的三段内容黏贴到“证书内容”中，将domaincomkey文件黏贴到“私钥”。 证书region（证书区域）勾选和购买的服务器区域一致，点击确认，完成证书的创建。

这个不是修改的,是进行安全部署,https使用证书进行访问,有加密的更安全。

你需要先申请一个域名的https证书,在阿里云,腾讯云上面都有免费的域名https证书申请。

检查网站是否支持https,可以说99/100的网站都支持https,内容和界面都和http的是一样的,但是如果你的网站有外部http链接的话,这个网站使用https的话就无法打开http链接。

在iis,apache,nginx等网站服务上面部署证书,开放https端口(默认443端口),既可访问https地址,也可以访问http地址。

1、生成证书请求文件CSR

用户进行https证书申请的第一步就是要生成CSR证书请求文件，系统会产生2个密钥，一个是公钥就是这个CSR文件，另外一个是私钥，存放在服务器上。要生成CSR文件，站长可以参考WEB SERVER的文档，一般APACHE等，使用OPENSSL命令行来生成KEY+CSR2个文件，Tomcat，JBoss，Resin等使用KEYTOOL来生成JKS和CSR文件，IIS通过向导建立一个挂起的请求和一个CSR文件。

温馨提醒：如果是申请沃通https证书，其数字证书商店buywosigncom已经支持CSR文件由系统自动生成，用户无需事先在Web服务器上生成CSR文件。

2、将CSR提交给CA机构认证

CA机构一般有2种认证方式：

(1)域名认证，一般通过对管理员邮箱认证的方式，这种方式认证速度快，但是签发的证书中没有企业的名称，只显示网站域名，也就是我们经常说的域名型https证书。

(2)企业文档认证，需要提供企业的营业执照。https证书申请CA认证一般需要1-5个工作日。

同时认证以上2种方式的证书，叫EV https证书，EV https证书可以使浏览器地址栏变成绿色，所以认证也最严格。EV https证书多应用于金融、电商、证券等对信息安全保护要求较高的领域。

3、获取https证书并安装

在收到CA机构签发的https证书后，将https证书部署到服务器上，一般APACHE文件直接将KEY+CER复制到文件上，然后修改HTTPDCONF文件;TOMCAT等需要将CA签发的证书CER文件导入JKS文件后，复制到服务器，然后修改SERVERXML;IIS需要处理挂起的请求，将CER文件导入。

创建桶后，系统会自动分配桶域名，分配的域名支持HTTPS访问。但大多数情况下，这并不是我们想要的结果，我们期待使用自己的域名进行访问，于是就有了这篇文章。

操作页面：控制台-SSL证书(使用安全)-SSL证书

操作页面：控制台-对象存储-巴克特列表-传输管理。

至此，OSS和自定义域名的HTTPS证书配置完成，可以通过HTTPS访问OSS中的内容。

相关阅读：

1https://baikebaiducom/item/HTTPS/285356 HTTPS

2OSS:https://helpaliyuncom/document_detail/31817html

相关问答：东莞银行云盾证书有什么作用 提高在线管理服务的安全级别。云盾证书是“网上管家婆”为提高在线管理服务的安全级别，专门提供的信息安全增值服务。它采用了绑定用户手机验证的登录方式，有效防止黑客盗用行为，充分保证管家婆用户的安全。云盾证书有三大亮点1）采用数字证书签名认证，实现手机安全交易。2）无需随身携带硬件UKey，轻松便捷体验转账服务。3)个人手机银行单日转账最高额度20万元，费用全免。

作为国内领先的云计算服务商，小鸟云有着完善的行业解决方案和卓越的云计算技术。自主研发的纯SSD架构云服务器，以50,000IOPS随机读写速度、800Mb/s吞吐量的高性能数值刷新行业记录。其整合资源、细化资源到落地资源的服务举措，旨在打造差异化的开放式闭环生态系统，帮助用户快速构建稳定、安全的云计算环境。

配置HTTPS主机，必须在server配置块中打开SSL协议，还需要指定服务器端证书和密钥文件的位置：

server {

listen 443;

server_name wwwexamplecom;

ssl on;

ssl_certificate wwwexamplecomcrt;

ssl_certificate_key wwwexamplecomkey;

ssl_protocols SSLv3 TLSv1 TLSv11 TLSv12;

ssl_ciphers HIGH:!aNULL:!MD5;

}

服务器证书是公开的，会被传送到每一个连接到服务器的客户端。而私钥不是公开的，需要存放在访问受限的文件中，当然，nginx主进程必须有读取密钥的权限。私钥和证书可以存放在同一个文件中：

ssl_certificate wwwexamplecomcert;

ssl_certificate_key wwwexamplecomcert;

这种情况下，证书文件同样得设置访问限制。当然，虽然证书和密钥存放在同一个文件，只有证书会发送给客户端，密钥不会发送。

ssl_protocols和ssl_ciphers指令可以用来强制用户连接只能引入SSL/TLS那些强壮的协议版本和强大的加密算法。从105版本开始，nginx默认使用“ssl_protocols SSLv3 TLSv1”和“ssl_ciphers HIGH:!aNULL:!MD5”，所以只有在之前的版本，明确地配置它们才是有意义的。从1113和1012版本开始，nginx默认使用“ssl_protocols SSLv3 TLSv1 TLSv11 TLSv12”。

CBC模式的加密算法容易受到一些攻击，尤其是BEAST攻击（参见CVE-2011-3389）。可以通过下面配置调整为优先使用RC4-SHA加密算法：

ssl_ciphers RC4:HIGH:!aNULL:!MD5;

ssl_prefer_server_ciphers on;

通常SSL证书是颁发给域名的，能使网站实现https加密，但很多企事业单位需要用IP地址来实现https加密，IPSSL证书可以解决企业需要对IP实现https加密的需求。

申请IPSSL证书需要满足的条件：

1、需要是公网IP；

2、申请者需要对IP具有管理权限；

3、IP只能申请单IPSSL证书或多IPSSL证书，不支持IP段的通配。

IPSSL证书分为普通型IPSSL证书和企业型IPSSL证书。

如何用ip申请SSL证书？

1、联系沃通CA，让客服帮您生成CSR文件，也可以在客服的指导下，直接在沃通CA官网生成CSR文件。

2、需要在服务器上创建一个对应的目录：ip地址/well-known/pki-validation/我们发给您的验证文本txt 。

3、证书颁发机构需要对企业身份进行审核，一般CA机构会通过第三方数据库来查询申请企业的联系电话，并通过人工完成电话认证。