1、进入阿里云ssl控制台,点击“SSL证书”,右侧栏选择“免费证书”,点击“创建证书”。如果显示可创建数量为0,可查看附件一。
2、点击新证书右侧“证书申请”
3、在申请页面输入网站域名,输入demo.com时,默认包含www.demo.com的申请
4、DNS验证
将提示中的记录解析到dns中,点击“验证”按钮。
注:域名验证成功,域名验证记录在证书签发后再删除,否则会因没有解析记录导致证书签发失败。
当前域名验证成功后,只需等待CA中心证书审核和签发。CA中心一般会在1~2个工作日内完成审核和签发,建议您耐心等待。
注:申请时“域名验证方式”选择“自动DNS验证”时,阿里云的域名将自动添加一条TXT解析,如果没有可以在域名处解析。
注:确定解析存在后,点击“验证”按钮。此处有可能显示“DNS记录不匹配”,可能原因:附件二。
5、部署
5.1. 证书下载
状态“已签发”,即可进行下一步部署。点击右侧“下载”,选择对应服务器类型进行证书下载。
5.2. Apache配置
解压已下载保存到本地的Apache证书文件。
解压后的文件夹中有3个文件:
- 证书文件:以.crt为后缀或文件类型。
- 证书链文件:以.crt为后缀或文件类型。
- 密钥文件:以.key为后缀或文件类型。
5.2.1. 将证书上传到 Apache目录/cert
5.2.2. 修改 httpd.conf
#删除行首的配置语句注释符号“#”加载mod_ssl.so模块启用SSL服务,Apache默认不启用该模块。 LoadModule ssl_module modules/mod_ssl.so #删除行首的配置语句注释符号“#”。 Include conf/extra/httpd-ssl.conf
5.2.3. 修改 httpd-ssl.conf
<VirtualHost *:443>
#修改为申请证书时绑定的域名。
ServerName demo.net
ServerAlias www.demo.net demo.net
DocumentRoot /data/www/hbappserver/public
SSLEngine on
# 添加SSL协议支持协议,去掉不安全的协议。
SSLProtocol all -SSLv2 -SSLv3
# 修改加密套件。
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
SSLHonorCipherOrder on
# 将domain_name1_public.crt替换成您证书文件名。
SSLCertificateFile cert/domain_name1_public.crt
# 将domain_name1.key替换成您证书的密钥文件名。
SSLCertificateKeyFile cert/domain_name1.key
# 将domain_name1_chain.crt替换成您证书的密钥文件名;证书链开头如果有#字符,请删除。
SSLCertificateChainFile cert/domain_name1_chain.crt
</VirtualHost>
#如果证书包含多个域名,复制以上参数,并将ServerName修改为第二个域名。
<VirtualHost *:443>
ServerName #修改为申请证书时绑定的第二个域名。
DocumentRoot /data/www/hbappserver/public
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3 # 添加SSL协议支持协议,去掉不安全的协议。
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM # 修改加密套件。
SSLHonorCipherOrder on
SSLCertificateFile cert/domain_name2_public.crt # 将domain_name2替换成您申请证书时的第二个域名。
SSLCertificateKeyFile cert/domain_name2.key # 将domain_name2替换成您申请证书时的第二个域名。
SSLCertificateChainFile cert/domain_name2_chain.crt # 将domain_name2替换成您申请证书时的第二个域名;证书链开头如果有#字符,请删除。
</VirtualHost>
...
5.2.4. 重启Apache服务器使SSL配置生效
$ apachectl -k stop
$ apachectl -k start
附件一:如果显示可创建数量为0,可能有以下两个原因:
1.年度清零
2.创建数量超出
若是第一种原因,将会弹出提示,根据提示购买免费证书即可。
附件二:SSL证书,DNS验证时,出现“DNS记录不匹配”,可能原因
之前购买过“DNS付费版云解析”,过期后没有更新DNS服务器,导致的域名解析失败。
解决办法:修改域名DNS。
温馨提示:修改dns后需要等待24-48小时dns生效时间
修改域名DNS:https://help.aliyun.com/document_detail/54157.html
云解析DNS产品:https://help.aliyun.com/document_detail/100426.html