免费资源部落

也许是看到了Https是未来发展的大趋势，Symantec 和GeoTrust 两大SSL公司最近在国内连续和好几家公司合作推出了免费一年的SSL证书服务，例如腾讯云免费GeoTrust SSL，不过现在改为GeoTrust 授权商亚洲诚信提供免费SSL证书。

而又拍云免费SSL和七牛云免费SSL则是与Symante、Let's Encrypt合作，赛门铁克的SSL证书同样也是免费一年。今天要分享的阿里云免费SSL也是由赛门铁克提供的，申请也比较简单，只要你用你的阿里云账号登录就可以在几分钟得到Symante SSL。

本文就来分享一下阿里云免费SSL证书申请与安装使用方法，参考官网的文档这里给出Nginx 、Apache 、Tomcat 、IIS 6 、IIS 7 、IIS 8 等配置阿里云SSL证书的教程，希望给第一次接触SSL证书的朋友有一定的帮助。更多的免费SSL证书，可以关注：

• 1、免费SSL证书汇总：八大免费SSL证书-给你的网站免费添加Https安全加密
• 2、UPyun又拍云CDN安装部署Let’s Encrypt免费SSL证书和配置自定义SSL证书
• 3、七牛CDN：Qiniu七牛云免费SSL证书申请使用及自定义SSL证书上传管理

阿里云免费SSL证书申请与安装使用-附Nginx,Apache,IIS 6,IIS 8配置SSL教程

一、阿里云免费SSL证书申请

1、阿里云官网：

• 1、官方网站：https://www.aliyun.com

2、进入阿里云官方首页，用自己的账号登录，然后在左边的“云盾”中选择“证书服务”。

3、然后，点击“购买证书”。

4、接下来就是选择免费版基础级SSL产品了。

5、确定支付0元。

6、最后，就是要你填写实例SSL证书信息了。

7、先输入你想要绑定SSL证书的域名。

8、还要填写你的申请个人信息。

二、生成域名CSR完成SSL申请

1、接着上传CSR，如果选择由阿里云系统生成CSR，则可以直接点击下一步。

2、如果你想要上传自己已经生成的CSR，则需要保管好私钥，同时将CSR内容复制粘贴进去。

3、关于如何生成CSR？一种方法是在VPS主机生成CSR，执行命令：

1
2

openssl req -new -nodes -sha256 -newkey rsa:2048 -keyout myprivate.key -out mydomain.csr
#-new 指定生成一个新的CSR，nodes指定私钥文件不被加密, sha256 指定摘要算法，keyout生成私钥, newkey rsa:2048 指定私钥类型和长度，最终生成CSR文件mydomain.csr。

4、接下来会要求你填写SSL基本信息。

5、相关的说明如下：

1
2
3
4
5
6

Organization Name(O)：名称
Organization Unit(OU)：部门
Country Code(C)：国家，只能是两个字母的国家码，如中国只能是：CN
State or Province(S)：省名或州名
Locality(L)：城市名
Common Name(CN)：申请SSL证书的具体网站域名

6、点击提交，完成SSL证书申请。

三、验证域名成功签发SSL证书

1、完成上面的申请后，你可以在证书管理页面查看“进度”。

2、这里会显示要你完成CNAME验证，给出来了CNAME值。

3、进入到你的域名DNS管理处，添加CNAME记录。

4、如果你没有添加CNAME记录是无法通过域名验证的，你的邮箱也会收到一个提醒你修改CNAME记录的邮件。

5、完成域名验证后，你就可以看到赛门铁克免费一年的SSL证书已经签发成功了。

四、阿里云SSL在Nginx,Apache配置方法

1、点击下载阿里云SSL证书 ，可以看到阿里云已经分别针对Nginx,Apache提供了SSL证书下载链接地址。

2、打开下载包，可以看到SSL包里有两个文件，一个是CRT，一个是Key。只有选择证书系统创建的CSR，才会有证书私钥文件key。

3、Nginx配置阿里云SSL。在Nginx的安装目录下创建cert目录，并且将下载的全部文件拷贝到cert目录中。如果申请证书时是自己创建的CSR文件，请将对应的私钥文件放到cert目录下并且命名为xxxx.key；

4、打开 Nginx 安装目录下 conf 目录中的 nginx.conf 文件，找到（没有就算了）：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

# HTTPS server
# #server {
# listen 443;
# server_name localhost;
# ssl on;
# ssl_certificate cert.pem;
# ssl_certificate_key cert.key;
# ssl_session_timeout 5m;
# ssl_protocols SSLv2 SSLv3 TLSv1;
# ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
# ssl_prefer_server_ciphers on;
# location / {
#
#
#}
#}

5、将其修改为 (以下属性中ssl开头的属性与证书配置有直接关系，其它属性请结合自己的实际情况复制或调整) ，没有可以直接添加：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

server {
    listen 443;
    server_name localhost;
    ssl on;
    root html;
    index index.html index.htm;
    ssl_certificate   cert/214002154660261.pem;
    ssl_certificate_key  cert/214002154660261.key;
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    location / {
        root html;
        index index.html index.htm;
    }
}

6、重启 Nginx，完成阿里云SSL配置。如果你使用的是LNMP 1.4以上的版本，可以直接替换原来的SSL路径，参考：LNMP安装Let’s Encrypt 免费SSL证书方法:自动安装与手动配置Nginx。

7、Apache配置阿里云SSL。 首选是选择Apache版本下载SSL。证书文件xxx.pem，包含两段内容，请不要删除任何一段内容。如果是证书系统创建的CSR，还包含：证书私钥文件xxx.key、证书公钥文件xxx.pem、证书链文件xxx.pem。

8、在Apache的安装目录下创建cert目录，并且将下载的全部文件拷贝到cert目录中。如果申请证书时是自己创建的CSR文件，请将对应的私钥文件放到cert目录下并且命名为xxxx.key；

9、打开 apache 安装目录下 conf 目录中的 httpd.conf 文件，找到以下内容并去掉“#”：

1
2

#LoadModule ssl_module modules/mod_ssl.so (如果找不到请确认是否编译过 openssl 插件)
#Include conf/extra/httpd-ssl.conf

10、打开 apache 安装目录下 conf/extra/httpd-ssl.conf 文件 (也可能是conf.d/ssl.conf，与操作系统及安装方式有关)， 在配置文件中查找以下配置语句:

1
2
3
4
5
6
7
8
9
10

# 添加 SSL 协议支持协议，去掉不安全的协议
SSLProtocol TLSv1 TLSv1.1 TLSv1.2
# 修改加密套件如下
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
# 证书公钥配置
SSLCertificateFile cert/public.pem
# 证书私钥配置
SSLCertificateKeyFile cert/214002154660261.key
# 证书链配置，如果该属性开头有 '#'字符，请删除掉
SSLCertificateChainFile cert/chain.pem

11、重启 Apache，完成SSL配置。

五、IIS 6 、IIS 7 、IIS 8配置阿里云SSL

1、IIS 6配置阿里云SSL。IIS 6 支持PFX格式证书，下载包中包含PFX格式证书和密码文件。证书文件xxxx.pem，包含两段内容。如果是证书系统创建的CSR，还包含：证书私钥文件xxx.key、PFX格式证书文件xxx.pfx、PFX格式证书密码文件pfx-password.txt。

2、首先是证书导入：开始 -〉运行 -〉MMC； 启动控制台程序，选择菜单“文件"中的"添加/删除管理单元”-> “添加”，从“可用的独立管理单元”列表中选择“证书”-> 选择“计算机帐户”。

3、在控制台的左侧显示证书树形列表，选择“个人”->“证书”，右键单击，选择“所有任务"-〉"导入”, 根据"证书导入向导”的提示，导入PFX文件 （此过程当中有一步非常重要： “根据证书内容自动选择存储区”）。

4、安装过程当中需要输入密码为您当时设置的密码。导入成功后,可以看到如图所示的证书信息。

5、 分配服务器证书，点击目录安全性，选择服务器证书。

6、然后是分配现有证书。

7、选择刚刚导入的服务器证书，设置443为SSL的端口。

8、确认要导入的证书，最后就可以在IIS 6的网站中看到SSL证书已经安装成功了。

9、IIS 7 、IIS 8配置阿里云SSL。先按照上面的方法，导入证书到服务器上。接着打开 IIS8.0 管理器面板,找到待部署证书的站点,点击“绑定”，如图。

10、选择“绑定”->“添加”->“类型选择 https” ->“端口 443” ->“ssl 证书【导入的证书名称】” ->“确定”,SSL 缺省端口为 443 端口(请不要随便修改)。如图。

六、阿里云免费SSL申请使用问题

1、CSR生成时绑定域名问题。大家如果是自己生成CSR时，一定要注意“CN”填写你要绑定SSL的域名，www和不带www的可以只填写一个，浏览器会视同等对待。而类似web.xxx.com这样的一定要填写完整。

2、关于SSL证书与密钥格式问题。很多人会傻傻分不清SSL证书格式，一般来说，Tomcat、Weblogic、JBoss等，使用Java提供的密码库。通过Java的Keytool工具，生成Java Keystore（JKS）格式的证书文件。Apache、Nginx等，使用OpenSSL提供的密码库，生成PEM、KEY、CRT等格式的证书文件。

3、而微软Windows Server中的Internet Information Services（IIS），使用Windows自带的证书库生成PFX格式的证书文件。这就是本文中看到的在IIS中安装SSL证书时下载的证书文件会不同。

4、JKS、PFX、PEM格式转化问题。不同的服务器可能要求不同格式的CRT，我们可以利用VPS直接在JKS、PFX、PEM之间相互转化。不过，我们也可以直接用在线工具转化，例如：ssltools.org、sslshopper.com等。

文章出自：免费资源部落 部分内容参考自阿里云官网文档 版权所有。本站文章除注明出处外，皆为作者原创文章，可自由引用，但请注明来源。