一,阿里云安全证书基本介绍

阿里云安全证书是阿里云平台上的一种安全认证方式,它采用了国际上广泛认可的SSL证书标准,为网站提供安全加密的HTTPS连接。通过阿里云安全证书的申请和使用,可以实现网站的身份验证和数据传输加密,有效地保护网站的安全性和机密性,提高用户的信任度和网站的可信度。 阿里云安全证书具有多种优势。

首先,它具有极高的安全性,能够防止网络攻击和数据泄露等安全风险。

其次,它支持多种域名,可以为不同的网站和业务提供个性化的安全认证。

此外,阿里云安全证书还具有快速申请和部署的优点,可以大大缩短网站的安全认证周期。

同时,阿里云还提供了专业的技术支持和服务,保障了网站的安全稳定运行。

二,准备工作

你需要注册一个阿里云账号,点击:注册阿里云账号

注册好了,然后到个人中心
做一下,实名认证,建议选择企业实名,这里建议不要选择个人实名,因为个人实名,阿里云是不会开具企业发票的。

三,购买阿里云安全证书

点击:选择阿里云安全证书

按照自己的需求,去选择要什么品牌的证书。

然后选择需要使用几年,则购买几年。一般企业证书在购买完以后,需要在填写一些信息,才可以下发。

以CFCA通配符OV证书为例,你需要上传服务器证书申请表,给CFCA,下载地址如下:下载地址

然后填写CFCA证书申请表。

当然不同的品牌的证书,要求填写的内容不一样。

四,下载证书
  1. 登录数字证书管理服务控制台

  2. 在左侧导航栏,单击SSL 证书

  3. SSL 证书页面,定位到目标证书,在操作列,单击下载

选择,自己的webserver对应的server类型,下载证书。

解压缩已下载的SSL证书压缩包。

根据您在提交证书申请时选择的CSR生成方式,解压缩获得的文件不同,具体如下表所示。

CSR

五,在Apache服务器安装证书
  1. 1,执行以下命令,在Apache的安装目录下创建一个用于存放证书的cert目录。
    1. 进入Apache的安装目录。

      cd /etc/httpd/ #使用yum安装Apache的默认安装目录。如果您手动修改过该目录或使用其他方式安装的Apache,请根据实际配置调整。
    2. 创建cert目录。

      mkdir cert #创建证书目录,命名为cert。
  2. 2,将证书文件和私钥文件上传到Apache服务器的证书目录(/etc/httpd/cert)。
  3. 3,编辑Apache配置文件httpd.conf和ssl.conf,修改与证书相关的配置。
    1. 找到LoadModule ssl_module modules/mod_ssl.so(用于加载mod_ssl.so模块启用SSL服务) 和Include conf.modules.d/*.conf(用于加载SSL配置目录),并检查是否被注释,如果被注释,请删除#注释。

      重要

      由于操作系统以及Apache安装方式不同,以上文件所处的位置也不同。可能出现在Apache目录的以下位置:

      • conf.modules.d/00-ssl.conf:本文中LoadModule ssl_module modules/mod_ssl.so位于该配置文件下。

      • httpd.conf:本文中Include conf.modules.d/*.conf位于该配置文件下。

      • http-ssl.conf

      如果仍未找到以上参数,请确认您的Apache服务器中是否已经安装mod_ssl.so模块。如未安装,可执行yum install -y mod_ssl命令安装,安装后,可执行httpd -M | grep 'ssl'命令检查mod_ssl.so是否安装成功。

      2022年1月1日起CentOS官方将不再对CentOS 8提供服务支持,如果您的操作系统是CentOS 8,yum命令可能无法正常使用,具体解决办法,请参见CentOS 8 EOL如何切换源?

    2. 执行以下命令,打开ssl.conf配置文件。

      vim /etc/httpd/conf.d/ssl.conf

      重要

      ssl.conf文件在不同操作系统的位置和名称不一样,在没有ssl.conf文件的情况下,请您查看Apache安装目录是否存在conf/extra/http-ssl.conf配置文件。

    3. 在ssl.conf配置文件中,定位到以下参数,按照中文注释修改。

      <VirtualHost *:443> 
       ServerName #修改为申请证书时绑定的域名。 
       SSLCertificateFile cert/domain_name_public.crt # 将domain_name_public.crt替换成您证书文件名。
       SSLCertificateKeyFile cert/domain_name.key # 将domain_name.key替换成您证书的密钥文件名。
       SSLCertificateChainFile cert/domain_name_chain.crt # 将domain_name_chain.crt替换成您证书的密钥文件名;证书链开头如果有#字符,请删除。
       
       #自定义设置使用的TLS协议的类型以及加密套件(以下为配置示例,请您自行评估是否需要配置)
       #TLS协议版本越高,HTTPS通信的安全性越高,但是相较于低版本TLS协议,高版本TLS协议对浏览器的兼容性较差。
       #SSLProtocol all -SSLv2 -SSLv3 # 添加SSL协议支持协议,去掉不安全的协议。
       #SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM # 修改加密套件。
      </VirtualHost>
      
      #如果证书包含多个域名,复制VirtualHost参数,并将ServerName修改为第二个域名。 
      <VirtualHost *:443> 
       ServerName #修改为申请证书时绑定的第二个域名。 
       SSLCertificateFile cert/domain_name2_public.crt # 将domain_name2替换成您申请证书时的第二个域名。
       SSLCertificateKeyFile cert/domain_name2.key # 将domain_name2替换成您申请证书时的第二个域名。
       SSLCertificateChainFile cert/domain_name2_chain.crt # 将domain_name2替换成您申请证书时的第二个域名;证书链开头如果有#字符,请删除。
       
       SSLEngine on 
       SSLHonorCipherOrder on
       #自定义设置使用的TLS协议的类型以及加密套件(以下为配置示例,请您自行评估是否需要配置)
       #TLS协议版本越高,HTTPS通信的安全性越高,但是相较于低版本TLS协议,高版本TLS协议对浏览器的兼容性较差。
       #SSLProtocol all -SSLv2 -SSLv3 # 添加SSL协议支持协议,去掉不安全的协议。
       #SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM # 修改加密套件。
      </VirtualHost>

      重要

      请关注您的浏览器版本是否支持SNI功能。如果不支持,多域名证书配置将无法生效。

    4. 可选:修改conf/httpd.conf文件,设置HTTP请求自动跳转HTTPS。

      在httpd.conf文件中添加以下重定向代码。

      RewriteEngine on
      RewriteCond %{SERVER_PORT} !^443$
      RewriteRule ^(.*)$ https://%{SERVER_NAME}$1 [L,R]
  4. 4,重启Apache服务器使SSL配置生效。
    1. 执行apachectl -k stop停止Apache服务。

    2. 执行apachectl -k start开启Apache服务。

  5. 5,验证SSL证书是否安装成功

证书安装完成后,您可通过访问证书的绑定域名验证该证书是否安装成功。

https://yourdomain   #需要将yourdomain替换成证书绑定的域名。

如果网页地址栏出现小锁标志,表示证书已经安装成功。

六,在CentOS系统下的Tomcat8.5或9安装SSL证书
  1. 1,将解压后的证书文件和密码文件上传到Tomcat服务器的conf目录。

    说明

    您可以使用远程登录工具附带的本地文件上传功能,上传文件。例如PuTTy、Xshell或WindSCP等。如果您使用的阿里云云服务器 ECS,上传文件具体操作,请参见本地Windows主机使用MSTSC上传文件到Windows云服务器上传文件到Linux云服务器

  2. 2,进入tomcat安装根目录,执行以下命令,打开server.xml文件。
    vim ./conf/server.xml 
  3. 3,在server.xml文件中,定位到以下配置项,按照配置示例进行配置。
    • 配置项一:

      image..png

      配置示例:

      <Connector port="80" protocol="HTTP/1.1" #将Connector port修改为80
                     connectionTimeout="20000"
                     redirectPort="443"  #将redirectPort修改为SSL默认端口443,让HTTPS请求转发到443端口。
                     maxParameterCount="1000"
                     />
    • 配置项二。

      image..png

      配置示例(需去掉<!- - 和 - ->注释符):

      <Connector port="443"   #将Tomcat中默认的HTTPS端口修改为443。8443端口不可通过域名直接访问、需要在域名后加上端口号。
                              #443端口是HTTPS的默认端口,可通过域名直接访问,无需在域名后加端口号。
                     protocol="org.apache.coyote.http11.Http11NioProtocol" #Connector port有两种运行模式NIO和APR,请选择NIO模式。
                     maxThreads="150" SSLEnabled="true"
                     maxParameterCount="1000"
                     >
              <SSLHostConfig>
                      <Certificate certificateKeystoreFile="conf/xxx.pfx" #修改为证书文件路径
                                   certificateKeystorePassword="xxxxxx" #填写证书文件密码。
                               type="RSA" />
              </SSLHostConfig>
      </Connector>
    • 配置项三:

      image..png

      配置示例(需去掉<!- - 和 - ->注释符):

      <Connector protocol="AJP/1.3"
                     address="::1"
                     port="8009"
                     redirectPort="443" ##将redirectPort修改为443,让HTTPS请求转发到443端口。
                     maxParameterCount="1000"
                     />
  4. 4,可选:在/conf/web.xml文件,配置HTTP请求自动跳转HTTPS。
    1. 进入tomcat安装根目录,执行以下命令,打开web.xml文件。

      vim ./conf/web.xml 
    2. 在web.xml文件最底部添加以下配置项。

      <security-constraint> 
               <web-resource-collection > 
                    <web-resource-name >SSL</web-resource-name>  
                    <url-pattern>/*</url-pattern> 
             </web-resource-collection> 
             <user-data-constraint> 
                          <transport-guarantee>CONFIDENTIAL</transport-guarantee> 
             </user-data-constraint> 
          </security-constraint>
  5. 5,进入Tomcat的bin目录,执行以下命令,停止Tomcat并重启。
    ./shutdown.sh #停止Tomcat服务
    ./startup.sh #重启Tomcat服务
七,总结

阿里云安全证书的应用范围非常广泛。它可以应用于各种类型的网站,包括企业官网、电子商务网站、政府机构网站、金融行业网站等。同时,阿里云安全证书还可以应用于各种业务场景,如网上银行、在线支付、电子医疗、在线教育等,为各种业务提供安全保障。 总之,阿里云安全证书是阿里云平台上的一种非常重要的安全认证方式,它可以有效地保护网站的安全性和机密性,提高用户的信任度和网站的可信度。

八,更多Webserver部署SSL证书,请参考:

安装证书到服务器文档详解

Logo

腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。

更多推荐