阿里云免费SSL证书申请与安装使用-附Nginx,Apache,IIS 6,IIS 8配置SSL教程

SSL   2017年01月30日 22:11  

阿里云免费SSL证书申请与安装使用-附Nginx,Apache,IIS 6,IIS 8配置SSL教程

也许是看到了Https是未来发展的大趋势,Symantec 和GeoTrust 两大SSL公司最近在国内连续和好几家公司合作推出了免费一年的SSL证书服务,例如腾讯云免费GeoTrust SSL,不过现在改为GeoTrust 授权商亚洲诚信提供免费SSL证书。

又拍云免费SSL七牛云免费SSL则是与Symante、Let's Encrypt合作,赛门铁克的SSL证书同样也是免费一年。今天要分享的阿里云免费SSL也是由赛门铁克提供的,申请也比较简单,只要你用你的阿里云账号登录就可以在几分钟得到Symante SSL。

本文就来分享一下阿里云免费SSL证书申请与安装使用方法,参考官网的文档这里给出Nginx 、Apache 、Tomcat 、IIS 6 、IIS 7 、IIS 8 等配置阿里云SSL证书的教程,希望给第一次接触SSL证书的朋友有一定的帮助。更多的免费SSL证书,可以关注:

阿里云免费SSL证书申请与安装使用-附Nginx,Apache,IIS 6,IIS 8配置SSL教程

一、阿里云免费SSL证书申请

1、阿里云官网:

2、进入阿里云官方首页,用自己的账号登录,然后在左边的“云盾”中选择“证书服务”。

阿里云免费SSL登录账号

3、然后,点击“购买证书”。

阿里云免费SSL购买证书

4、接下来就是选择免费版基础级SSL产品了。

阿里云免费SSL申请

5、确定支付0元。

阿里云免费SSL确认支付

6、最后,就是要你填写实例SSL证书信息了。

阿里云免费SSL补全信息

7、先输入你想要绑定SSL证书的域名。

阿里云免费SSL输入域名

8、还要填写你的申请个人信息。

阿里云免费SSL个人信息

二、生成域名CSR完成SSL申请

1、接着上传CSR,如果选择由阿里云系统生成CSR,则可以直接点击下一步。

阿里云免费SSL选择CSR

2、如果你想要上传自己已经生成的CSR,则需要保管好私钥,同时将CSR内容复制粘贴进去。

阿里云免费SSL上传自己的CSR

3、关于如何生成CSR?一种方法是在VPS主机生成CSR,执行命令:

1
2
openssl req -new -nodes -sha256 -newkey rsa:2048 -keyout myprivate.key -out mydomain.csr
#-new 指定生成一个新的CSR,nodes指定私钥文件不被加密, sha256 指定摘要算法,keyout生成私钥, newkey rsa:2048 指定私钥类型和长度,最终生成CSR文件mydomain.csr。

4、接下来会要求你填写SSL基本信息。

阿里云免费SSL输入信息

5、相关的说明如下:

1
2
3
4
5
6
Organization Name(O):名称
Organization Unit(OU):部门
Country Code(C):国家,只能是两个字母的国家码,如中国只能是:CN
State or Province(S):省名或州名
Locality(L):城市名
Common Name(CN):申请SSL证书的具体网站域名

6、点击提交,完成SSL证书申请。

阿里云免费SSL点击提交

三、验证域名成功签发SSL证书

1、完成上面的申请后,你可以在证书管理页面查看“进度”。

阿里云免费SSL查看进度

2、这里会显示要你完成CNAME验证,给出来了CNAME值。

阿里云免费SSL要完成CNAME

3、进入到你的域名DNS管理处,添加CNAME记录。

阿里云免费SSL修改DNS解析

4、如果你没有添加CNAME记录是无法通过域名验证的,你的邮箱也会收到一个提醒你修改CNAME记录的邮件。

阿里云免费SSL收到邮件提醒

5、完成域名验证后,你就可以看到赛门铁克免费一年的SSL证书已经签发成功了。

阿里云免费SSL签发成功

四、阿里云SSL在Nginx,Apache配置方法

1、点击下载阿里云SSL证书 ,可以看到阿里云已经分别针对Nginx,Apache提供了SSL证书下载链接地址。

阿里云免费SSL下载证书

2、打开下载包,可以看到SSL包里有两个文件,一个是CRT,一个是Key。只有选择证书系统创建的CSR,才会有证书私钥文件key。

阿里云免费SSL打开安装包

3、Nginx配置阿里云SSL。在Nginx的安装目录下创建cert目录,并且将下载的全部文件拷贝到cert目录中。如果申请证书时是自己创建的CSR文件,请将对应的私钥文件放到cert目录下并且命名为xxxx.key;

4、打开 Nginx 安装目录下 conf 目录中的 nginx.conf 文件,找到(没有就算了):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
# HTTPS server
# #server {
# listen 443;
# server_name localhost;
# ssl on;
# ssl_certificate cert.pem;
# ssl_certificate_key cert.key;
# ssl_session_timeout 5m;
# ssl_protocols SSLv2 SSLv3 TLSv1;
# ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
# ssl_prefer_server_ciphers on;
# location / {
#
#
#}
#}

5、将其修改为 (以下属性中ssl开头的属性与证书配置有直接关系,其它属性请结合自己的实际情况复制或调整) ,没有可以直接添加:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
server {
    listen 443;
    server_name localhost;
    ssl on;
    root html;
    index index.html index.htm;
    ssl_certificate   cert/214002154660261.pem;
    ssl_certificate_key  cert/214002154660261.key;
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    location / {
        root html;
        index index.html index.htm;
    }
}

6、重启 Nginx,完成阿里云SSL配置。如果你使用的是LNMP 1.4以上的版本,可以直接替换原来的SSL路径,参考:LNMP安装Let’s Encrypt 免费SSL证书方法:自动安装与手动配置Nginx

阿里云免费SSL替换路径

7、Apache配置阿里云SSL。 首选是选择Apache版本下载SSL。证书文件xxx.pem,包含两段内容,请不要删除任何一段内容。如果是证书系统创建的CSR,还包含:证书私钥文件xxx.key、证书公钥文件xxx.pem、证书链文件xxx.pem。

阿里云免费SSL下载Apache版本

8、在Apache的安装目录下创建cert目录,并且将下载的全部文件拷贝到cert目录中。如果申请证书时是自己创建的CSR文件,请将对应的私钥文件放到cert目录下并且命名为xxxx.key;

9、打开 apache 安装目录下 conf 目录中的 httpd.conf 文件,找到以下内容并去掉“#”:

1
2
#LoadModule ssl_module modules/mod_ssl.so (如果找不到请确认是否编译过 openssl 插件)
#Include conf/extra/httpd-ssl.conf

10、打开 apache 安装目录下 conf/extra/httpd-ssl.conf 文件 (也可能是conf.d/ssl.conf,与操作系统及安装方式有关), 在配置文件中查找以下配置语句:

1
2
3
4
5
6
7
8
9
10
# 添加 SSL 协议支持协议,去掉不安全的协议
SSLProtocol TLSv1 TLSv1.1 TLSv1.2
# 修改加密套件如下
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
# 证书公钥配置
SSLCertificateFile cert/public.pem
# 证书私钥配置
SSLCertificateKeyFile cert/214002154660261.key
# 证书链配置,如果该属性开头有 '#'字符,请删除掉
SSLCertificateChainFile cert/chain.pem

11、重启 Apache,完成SSL配置。

阿里云免费SSL完成配置

五、IIS 6 、IIS 7 、IIS 8配置阿里云SSL

1、IIS 6配置阿里云SSL。IIS 6 支持PFX格式证书,下载包中包含PFX格式证书和密码文件。证书文件xxxx.pem,包含两段内容。如果是证书系统创建的CSR,还包含:证书私钥文件xxx.key、PFX格式证书文件xxx.pfx、PFX格式证书密码文件pfx-password.txt。

阿里云免费SSL下载IIS版本

2、首先是证书导入:开始 -〉运行 -〉MMC; 启动控制台程序,选择菜单“文件"中的"添加/删除管理单元”-> “添加”,从“可用的独立管理单元”列表中选择“证书”-> 选择“计算机帐户”。

3、在控制台的左侧显示证书树形列表,选择“个人”->“证书”,右键单击,选择“所有任务"-〉"导入”, 根据"证书导入向导”的提示,导入PFX文件 (此过程当中有一步非常重要: “根据证书内容自动选择存储区”)。

阿里云免费SSL选择存储区

4、安装过程当中需要输入密码为您当时设置的密码。导入成功后,可以看到如图所示的证书信息。

阿里云免费SSL导入成功

5、 分配服务器证书,点击目录安全性,选择服务器证书。

阿里云免费SSL目录安全性

6、然后是分配现有证书。

阿里云免费SSL分配证书

7、选择刚刚导入的服务器证书,设置443为SSL的端口。

阿里云免费SSL设置端口

8、确认要导入的证书,最后就可以在IIS 6的网站中看到SSL证书已经安装成功了。

阿里云免费SSL在IIS 6上安装成功

9、IIS 7 、IIS 8配置阿里云SSL。先按照上面的方法,导入证书到服务器上。接着打开 IIS8.0 管理器面板,找到待部署证书的站点,点击“绑定”,如图。

阿里云免费SSL在IIS 8上绑定

10、选择“绑定”->“添加”->“类型选择 https” ->“端口 443” ->“ssl 证书【导入的证书名称】” ->“确定”,SSL 缺省端口为 443 端口(请不要随便修改)。如图。

阿里云免费SSL在IIS 8上添加端口

六、阿里云免费SSL申请使用问题

1、CSR生成时绑定域名问题。大家如果是自己生成CSR时,一定要注意“CN”填写你要绑定SSL的域名,www和不带www的可以只填写一个,浏览器会视同等对待。而类似web.xxx.com这样的一定要填写完整。

2、关于SSL证书与密钥格式问题。很多人会傻傻分不清SSL证书格式,一般来说,Tomcat、Weblogic、JBoss等,使用Java提供的密码库。通过Java的Keytool工具,生成Java Keystore(JKS)格式的证书文件。Apache、Nginx等,使用OpenSSL提供的密码库,生成PEM、KEY、CRT等格式的证书文件。

3、而微软Windows Server中的Internet Information Services(IIS),使用Windows自带的证书库生成PFX格式的证书文件。这就是本文中看到的在IIS中安装SSL证书时下载的证书文件会不同。

4、JKS、PFX、PEM格式转化问题。不同的服务器可能要求不同格式的CRT,我们可以利用VPS直接在JKS、PFX、PEM之间相互转化。不过,我们也可以直接用在线工具转化,例如:ssltools.org、sslshopper.com等。

文章出自:免费资源部落 部分内容参考自阿里云官网文档 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。

域名注册
购买VPS主机

您或许对下面这些文章有兴趣:                    本月吐槽辛苦排行榜

在这个部落村庄里,已经有38 位神马家族成员冒出泡来在农场开始干活了
  • 沙发..
    阿里云这玩意和腾讯云的一样,不过腾讯的DNS解析了秒领取,阿里云那货不管是文件验证还是DNS解析验证都得等一天然后告我不成功,明明我自己测试是成功了,搞了好几次放弃了。。。

    qi 回复:

    @初行博客, 我的阿里云自带的DNS,貌似一会儿就好了。

    这是农场的第 1 块农田,部落批准 [初行博客] 在[2017-1-30 22:28]开垦完成.
  • WhiteJue 1

    前排。。。

    这是农场的第 2 块农田,部落批准 [WhiteJue] 在[2017-1-30 22:59]开垦完成.
  • https启用http2对于网页性能提升帮助不小

    qi 回复:

    @李毅哲, 是的,速度与非https貌似没有什么不同。

    这是农场的第 3 块农田,部落批准 [李毅哲] 在[2017-1-31 07:16]开垦完成.
  • 看上去太复杂 不到万不得已 不加https

    qi 回复:

    @BanYuner, 建议博主迟早加上。

    这是农场的第 4 块农田,部落批准 [BanYuner] 在[2017-1-31 09:30]开垦完成.
  • Kung 23

    不能续费很难受。。

    RR233CY 回复:

    @Kung, 到期不能申请一个新的证书?

    qi 回复:

    @Kung, 续费要钱也是一个问题。

    这是农场的第 5 块农田,部落批准 [Kung] 在[2017-1-31 10:34]开垦完成.
  • 就是好奇到期怎么办

    是继续申请一个

    还是可以续期

    神爱 回复:

    @薅羊毛, 继续申请,一年一换,或者使用Let’s Encrypt,配置自动更新

    RR233CY 回复:

    @薅羊毛, 到期申请一个新的,阿里给每账户提供20个免费证书

    qi 回复:

    @薅羊毛, 重新申请一个,用同样的域名。

    这是农场的第 6 块农田,部落批准 [薅羊毛] 在[2017-1-31 18:47]开垦完成.
  • 微而 5

    这段时间很多商家推出免费SSL证书的服务

    RR233CY 回复:

    @微而, 国内的这些商家基本都要求先实名认证

    这是农场的第 7 块农田,部落批准 [微而] 在[2017-2-2 02:08]开垦完成.
  • 伤心的笔 5

    https越来越流行了,期待流量劫持成为历史,早日进入中间人攻击时代(雾

    qi 回复:

    @伤心的笔, Https貌似也解决不了劫持的问题。

    伤心的笔 回复:

    @qi, 可以的,私钥只有网站服务器知道,ISP如果想篡改网页或者劫持dns,没有私钥的情况下,将无法再度通过https进行传输(浏览器提示:可靠性无法证实);只要用户的浏览器地址栏的协议是https,除非中间人攻击(代价太大,比如2015年CN#NIC用过一次,下场大家知道了),否则可以保证不被劫持

    这是农场的第 8 块农田,部落批准 [伤心的笔] 在[2017-2-4 22:46]开垦完成.
  • 我用的是GoGetSSL的免费证书,阿里的发现晚了,还是继续用GoGetSSL吧。

    qi 回复:

    @黄良钵博客, GoGetSSL的也不错了。

    黄良钵博客 回复:

    @qi, 确实也不错,就是得隔几个月去续费下

    这是农场的第 9 块农田,部落批准 [黄良钵博客] 在[2017-2-10 01:18]开垦完成.
  • 就是不知道为什么加GoGetSSL的ssl后火狐的打不开首页,后台可以进去,其他浏览器正常

    qi 回复:

    @黄良钵博客, 这个和SSL有关系吗?是不是首页加载了一些其它站的内容?

    黄良钵博客 回复:

    @qi, 我也不知道,首页也就加载了百度统计的一个js里包含http链接,在其他浏览器就正常,火狐就出不来,,

    qi 回复:

    @黄良钵博客, Firefox中查看元素中可以看到错误提示的。

    这是农场的第 10 块农田,部落批准 [黄良钵博客] 在[2017-2-10 01:19]开垦完成.
  • 裸奔

    阿里云可以免费申请多少个证书?

    qi 回复:

    @裸奔, 没有限制数量,但是太多了肯定在后台有限制。

    这是农场的第 11 块农田,部落批准 [裸奔] 在[2017-2-17 08:19]开垦完成.
  • 七十二变

    一样操作的,apache 设置完后无法成功,求解

    qi 回复:

    @七十二变, Apache是哪个安装包?LNMP?

    七十二变 回复:

    @qi, 我是win系统下 用的是upupw apache版

    qi 回复:

    @七十二变, 这个应该和upupw有关系,这里有一个解决办法:http://php.upupw.net/apache/6/3484.html

    这是农场的第 12 块农田,部落批准 [七十二变] 在[2017-3-2 11:56]开垦完成.
  • qi 你好~~

    有个问题请教。centos6.6 apache

    其他都没什么问题,但是老是提示TLSv1.1 和1.2 错误,httpd不能启动,去掉这两个只保留 TLSv1 可以启动,http 正常,但是

    https 没成功,大概是什么问题呢?

    这是农场的第 13 块农田,部落批准 [牧羊人] 在[2017-3-29 17:01]开垦完成.
  • 版本:

    [root@aliyun ~]# httpd -v
    Server version: Apache/2.2.15 (Unix)
    Server built: Nov 15 2012 15:52:50
    [root@aliyun ~]# openssl version -v
    OpenSSL 1.0.1e-fips 11 Feb 2013

    qi 回复:

    @牧羊人, 试试这个:
    SSLEngine on
    SSLProtocol All -SSLv2 -SSLv3
    SSLHonorCipherOrder on
    SSLCipherSuite ALL:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

    另外,采用LAMP的可以用这个方法:https://www.freehao123.com/lamp-ssl/#toc-4

    牧羊人 回复:

    @qi, 还算没成功 :sad:

    这是农场的第 14 块农田,部落批准 [牧羊人] 在[2017-3-29 17:05]开垦完成.
  • 木子

    一个ecs有多个网站
    配置 都放在nginx.conf
    还是放在相应的域名 .conf

    qi 回复:

    @木子, 放在相应的域名的.conf中。

    这是农场的第 15 块农田,部落批准 [木子] 在[2017-4-11 17:02]开垦完成.
看贴要回贴有N种理由!看帖不回贴的后果你懂得的!


评论内容 (*必填):
(Ctrl + Enter提交)   

部落快速搜索栏

各类专题梳理

网站导航栏

X
返回顶部