20.1k 次阅读
苹果和小程序开发都开始要求使用https服务，而且运营商广告注入也越来越疯狂。所以，实现网站https很用必要。
实现https就需要一个SSL证书。证书大部分都很贵，不过也有一些免费的证书服务供个人开发者使用，这是一个大好消息。比如腾讯云，七牛云，阿里云。
我们今天就拿阿里云来实践一下，因为我的服务器也在这里。
原文链接：
购买SSL证书
首先第一步就是获取一个证书。来到阿里云购买证书页面。传送门：
选择如下图的配置。其他的也买不起o(╯□╰)o
点击立即购买，然后下一步，直接支付就可以了。
看下支付成功
之后，去阿里云控制台，选择菜安全（云盾）-&证书服务，可以找到刚刚的购买好的订单。
刚刚买好的订单，证书状态为待完成。需要点击补全链接进行补全。
补全信息就是填写一些你的域名信息和你的个人信息，顺带验证下域名是你的。
第一步是填写域名。这里不能写通配符域名，需要写普通域名，就是类似于www.baidu.com或者images.baidu.com这种。
所以，当你需要多个二级域名的时候，你需要购买多个免费的SSL证书。
下一步，填写个人信息。
这里面要注意，红框内的域名验证类型。
DNS：是在域名解析记录里面添加一条记录来证明域名是你的。
文件：是传一个文件到你的域名根目录方式来证明域名是你的。
其中如果选择DNS的，并且域名在阿里云的可以直接勾选下面的复选框，这样阿里云就会自动帮你填写域名解析记录，全自动。
点击下一步，进入生成CSR界面，这里为了简单，选择系统生成。点击创建自动创建。
完成上面所有工作后。回到证书订单列表，信息会显示在审核中状态。点击进度可以查看之前步奏是否有问题。
如下状态是成功：
如果点击进度，弹出对话框如下。
注意红色字。说明，系统在域名解析中添加TXT记录存在冲突。那么说明你的域名中存在同名的CNAME记录。因为，CNAME和TXT同名会冲突。
我们去域名解析界面看下：
果然，这里存在同名的CNAME。解决方案：
先删除CNAME，添加TXT记录，等到域名授权验证通过。这时再删除TXT，把CNAME写回来。
先把CNAME改为A记录（因为A记录和TXT不冲突），然后添加TXT。等到审核通过同上。
一切问题都解决了，下面就等签发。
安装服务器证书
等到签发完成后，我们直接点击对应域名的下载链接。
跳转到该界面，选择你对应的服务器，下载证书。我这里是apache
下载完成后，文件包内应该有4个文件。
我们去服务器apache安装的目录创建一个文件夹cert，在里面再创建一个文件夹admin（这里为了放多个域名证书，便于管理）。将刚刚下载的4个文件全部传到服务器。
提示： ubuntu服务器的apache默认安装目录为/etc/apache2
修改虚拟主机配置
证书文件传好了之后，我们需要使用证书。这里是在apache的配置文件中引用。
首先看一下之前的apache虚拟主机配置：
&VirtualHost *:80&
DocumentRoot /var/www/admin/
ServerName admin.bidianer.com
&Directory "/var/www/admin/"&
Options FollowSymLinks
AllowOverride all
Order allow,deny
Allow from all
&/Directory&
ErrorLog "/mnt/bidianer_error.log"
CustomLog "/mnt/bidianer_runtime.log" common
&/VirtualHost&
这里的虚拟主机是80端口，而https走的是443接口，所以我们不能再使用之前的80端口配置。需要重新配置。但是，如果我们还想保留http访问，也想用https访问，那么就保留这个配置，再新建一个配置。
&VirtualHost *:443&
DocumentRoot /var/www/admin/
ServerName admin.bidianer.com
&Directory "/var/www/admin/"&
Options FollowSymLinks
AllowOverride all
Order allow,deny
Allow from all
&/Directory&
SSLEngine on
SSLProtocol TLSv1 TLSv1.1 TLSv1.2 SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
SSLCertificateFile cert/admin/public.pem
SSLCertificateKeyFile cert/admin/502.key
SSLCertificateChainFile cert/admin/chain.pem
ErrorLog "/mnt/bidianer_error.log"
CustomLog "/mnt/bidianer_runtime.log" common
&/VirtualHost&
解释： 上面这个配置是监听443端口，所以当使用https访问的时候会使用该配置。该配置大部分和上面的都相同，但是却多了这一段代码。
SSLEngine on
SSLProtocol TLSv1 TLSv1.1 TLSv1.2 SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
SSLCertificateFile cert/admin/public.pem
SSLCertificateKeyFile cert/admin/21408*****0502.key # 这里我隐藏了部分数字
SSLCertificateChainFile cert/admin/chain.pem
这段代码就是告诉服务器使用刚刚我们下载好的证书。把其中的地址改为你的就可以了（尤其注意那串数字文件要记得改）
接下来重启apache服务器
/etc/init.d/apache2 restart
打开浏览器，使用https协议访问你的网站（这个https生效需要时间，时间不确定，所以不会立即可以访问）。我的https://www.bidianer.com。绿色图标出现，一切ok
CDN使用HTTPS
这部分内容不是必须的，是你使用了CDN服务才会用到
如果你在阿里云买了CDN，那么如何使用HTTPS。这个方法很简单，阿里云已经提供了。
在开始之前，首先记得把你的相关域名解析到阿里云的CNAME，这样才可以使用CDN，再谈CDN使用HTTPS
第一步，打开你的CDN域名列表
点击相关域名的配置链接，进入配置页面。
主要需要配置红框内两个内容。
第一个回源设置
其中源站信息，有3种选择，这里比较常用的是IP，选择后填写IP地址即可，端口选择443端口
回源HOST，开启，选择加速域名。
回源方式，开启协议跟随回源
这里说一下回源HOST，这个最好选择默认的加速域名，不要选择自定义，如果你当前的域名是www.bidianer.com，你自定义回源HOST为bidianer.com，那么在你网站中获取的网站host信息就是bidianer.com而不是www.bidianer.com。
比如PHP中$_SERVER['HTTP_HOST']就是bidianer.com，而不是www.bidianer.com，会出问题有时候。
第二个HTTPS设置
点击状态开启即可。
选择你之前创建的相关域名证书。
强制跳转可以选择自己想要的。
这里说下证书名称要和你的证书列表对应起来，否则会出错。证书名称在这里：
开始你的可能是一串乱七八糟的数字，最好修改一下，后面选择证书不会出错。
选错了证书会有啥问题？
浏览器地址栏会提示：
用户打开会是个警告页面，网站就倒闭了。
最后提醒下，CDN使用HTTPS也会有很长时间的延迟，不要着急
严颖，星空幻颖
10 收藏&&|&&29
（这个https生效需要时间，时间不确定，所以不会立即可以访问）这句话是什么意思。apche配置重启后，https还不能立即生效？
（这个https生效需要时间，时间不确定，所以不会立即可以访问）
这句话是什么意思。apche配置重启后，https还不能立即生效？
@木子伟 不是服务器这里，是服务提供商他有个时间延缓，一般很快，不会有问题
@木子伟 不是服务器这里，是服务提供商他有个时间延缓，一般很快，不会有问题
感谢作者的回复：原文的配置
SSLEngine on
SSLProtocol TLSv1 TLSv1.1 TLSv1.2 SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
SSLCertificateFile cert/admin/public.pem
SSLCertificateKeyFile cert/admin/502.key
SSLCertificateChainFile cert/admin/chain.pem
这里我配置的时候出了点小问题。报了一个“客户端和服务器不支持一般 SSL 协议版本或加密套件”的错误。解决方法：将原文的
SSLProtocol TLSv1 TLSv1.1 TLSv1.2 SSLv3改成
SSLProtocol TLSv1 TLSv1.1 TLSv1.2去掉
SSLv3就可以了。（也可能是我服务器环境的问题）
感谢作者的回复：
原文的配置
SSLEngine on
SSLProtocol TLSv1 TLSv1.1 TLSv1.2 SSLv3
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4
SSLCertificateFile cert/admin/public.pem
SSLCertificateKeyFile cert/admin/502.key
SSLCertificateChainFile cert/admin/chain.pem
这里我配置的时候出了点小问题。报了一个“客户端和服务器不支持一般 SSL 协议版本或加密套件”的错误。
解决方法：将原文的
SSLProtocol TLSv1 TLSv1.1 TLSv1.2 SSLv3
SSLProtocol TLSv1 TLSv1.1 TLSv1.2
就可以了。（也可能是我服务器环境的问题）
@木子伟 哈哈哈，谢谢。可能是环境不一致，不过多了一种解决方案。
@木子伟 哈哈哈，谢谢。可能是环境不一致，不过多了一种解决方案。
为什么我的阿里云 云盾没有免费的证书？？
为什么我的阿里云 云盾没有免费的证书？？
这个地址你看看，有个免费的证书选项
https://common-buy.aliyun.com/?spm=163.cas.1.2arDtO&commodityCode=cas#/buy 这个地址你看看，有个免费的证书选项
你要选择赛门铁克品牌，他有免费的
你要选择赛门铁克品牌，他有免费的
好像都没有免费了
好像都没有免费了
为什么一直报错
Unregistered Authentication Agent for unix-process:ssl.conf 的配置 都是按阿里云手册来的
为什么一直报错
Unregistered Authentication Agent for unix-process:
ssl.conf 的配置 都是按阿里云手册来的
你这个是在哪里报错的？
你这个是在哪里报错的？
阿里云的DNS好像是要钱的，我到这一步就停了，有没有用其他的DNS？
阿里云的DNS好像是要钱的，我到这一步就停了，有没有用其他的DNS？
https的好像都是收费的，而且之前买的一个包年的也没用。七牛也是收费
https的好像都是收费的，而且之前买的一个包年的也没用。七牛也是收费
你好，我按照你说的来配置但还是不行。主要是在配置环境中是直接加上443端口配置信息，还是新建一个文件夹然后写入443的配置信息呢，如果是前者的话，我试了，不行，望指教。谢谢！
你好，我按照你说的来配置但还是不行。主要是在配置环境中是直接加上443端口配置信息，还是新建一个文件夹然后写入443的配置信息呢，如果是前者的话，我试了，不行，望指教。谢谢！
私信已经回复啦~
私信已经回复啦~
感觉太复杂了，有没有一键就能设置的SSL ？
ECS是在阿里云买的啊，域名也在阿里云，怎么会这么麻烦？？？
感觉太复杂了，有没有一键就能设置的SSL ？
ECS是在阿里云买的啊，域名也在阿里云，怎么会这么麻烦？？？
现在阿里云域名那里好像有快捷设置方法，但是你的证书还是要上传到你的服务器，你的apache还是要引用你的证书，这里最复杂的阿里云做不了~
现在阿里云域名那里好像有快捷设置方法，但是你的证书还是要上传到你的服务器，你的apache还是要引用你的证书，这里最复杂的阿里云做不了~
昨天偷懒 用的是 WordPress的镜像。。。。现在装SSL 彻底懵逼了。。。
昨天偷懒 用的是 WordPress的镜像。。。。现在装SSL 彻底懵逼了。。。
现在最复杂的也就是服务器这块，当初也是跳了无数坑才成功
@AdAm大将军[g7adam] 现在最复杂的也就是服务器这块，当初也是跳了无数坑才成功
您好，看了您的帖子，写的很详细，学到了很多新知识 ，哈哈，我现在也在配置服务器的配置，按照阿里云提供的文档配置的，可是重启服务器失败，error_log中显示”[error] Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile]“，试了很多种方法，可是依然报这个错误，你是否知道这个如何解决呢，感谢不已 :)
您好，看了您的帖子，写的很详细，学到了很多新知识 ，哈哈，
我现在也在配置服务器的配置，按照阿里云提供的文档配置的，可是重启服务器失败，error_log中显示”[error] Server should be SSL-aware but has no certificate configured [Hint: SSLCertificateFile]“，试了很多种方法，可是依然报这个错误，你是否知道这个如何解决呢，感谢不已 :)
分享到微博？
我要该，理由是：
在 SegmentFault，学习技能、解决问题
每个月，我们帮助 1000 万的开发者解决各种各样的技术问题。并助力他们在技术能力、职业生涯、影响力上获得提升。云数据库 TencentDB
互联网中间件
域名与网站
开发者工具
人工智能（AI）
大数据基础服务
大数据可视化服务
大数据应用服务
行业解决方案
大数据与AI解决方案
物联网解决方案
安全与运维解决方案
微信解决方案
微信小程序
服务与培训
域名身份如何自动验证
域名身份如何自动验证
1. 自动DNS验证原理
提交证书申请后，CA机构会指定添加一条CNAME解析记录来验证域名的所有权，如果该域名在腾讯云云解析平台进行解析，则可以立即自动添加指定的CNAME解析记录，等待CA机构的定时扫描审核，以最快最便捷的方式完成证书申请。
2. 云解析添加域名
如果您的域名不在云解析平台进行解析，可以参考如下流程将域名加入云解析：
3. 修改DNS服务器
切记，完成添加域名后，需要修改域名的DNS服务器为腾讯云指定的DNS地址，解析方可生效。参考
文档是否有帮助解决问题？
您已提交过反馈，无需再次提交
反馈收到，动动手指，帮我们明确下问题点
文档内容不全面，重点不清晰，找不到资料
文字描述过于冗余、复杂
描述的步骤有问题，按照操作无法生效
文档内容更新不及时
提交成功！非常感谢您的反馈，我们会继续努力做到更好！
如果有其他疑问，你也可以通过提问形式与我们联系探讨
SSL 证书 相关文档
域名身份如何自动验证
域名身份如何自动验证
1. 自动DNS验证原理
提交证书申请后，CA机构会指定添加一条CNAME解析记录来验证域名的所有权，如果该域名在腾讯云云解析平台进行解析，则可以立即自动添加指定的CNAME解析记录，等待CA机构的定时扫描审核，以最快最便捷的方式完成证书申请。
2. 云解析添加域名
如果您的域名不在云解析平台进行解析，可以参考如下流程将域名加入云解析：
3. 修改DNS服务器
切记，完成添加域名后，需要修改域名的DNS服务器为腾讯云指定的DNS地址，解析方可生效。参考
文档是否有帮助解决问题？
您已提交过反馈，无需再次提交
反馈收到，动动手指，帮我们明确下问题点
文档内容不全面，重点不清晰，找不到资料
文字描述过于冗余、复杂
描述的步骤有问题，按照操作无法生效
文档内容更新不及时
提交成功！非常感谢您的反馈，我们会继续努力做到更好！
如果有其他疑问，你也可以通过提问形式与我们联系探讨
SSL 证书 相关文档
关注公众号，移动管理云服务
长按识别或截图保存关注公众号，移动管理云服务个回答由于CA机构的反钓鱼机制，一般是域名信息中包含敏感词，例如bank、pay等，会引起安全审查失败，具体敏感词由CA机构定义，同时部分不常用的根域名也可能会审核失败，例如 www.qq.pw www.qcloud.pw 等以.pw 根域名后缀的无法通过审核。因为域名型SSL证书通过自动认证快速签发，不会人工介入审核，会用较为严格的敏感词来加强审核标准。CM-Z.net · 创建者 (已认证)尝试下自动解析？感觉应该是你的域名有上述的哪几种情况把你的网站有木有挂什么乱七八糟的东西呢？试一下自动解析呢。是申请的时候无法通过么，可以用您所lookup命令测试一下是否配置成功，若配置成功请耐心等待CA扫描，当检测到后就会颁发证书的。扫描二维码扫描关注云+社区学习资料分享
阿里云和腾讯云免费SSL证书 - 知识林
本文章来自
什么是SSL证书
通俗的来讲SSL和TSL都是属于网络传输的安全协议，而SSL继承于TSL，且SSL是一种更为安全的加密协议。
SSL和TSL的体现：
TSL是通过浏览器以http://来访问，默认端口是80；
SSL是通过浏览器以https://来访问，默认端口是443。
为什么要使用SSL
SSL更加安全
在使用开发时与后台数据交互必须使用https传输，即SSL协议
SSL如何获得
SSL证书在很多网站上都有出售，且价格都不便宜（对我来说蛮贵的）
在阿里云和腾讯云上面都有免费的证书可以获取
阿里云证书服务网址：
腾讯云证书服务网址：
在阿里云和腾讯云上申请SSL证书都需要先注册。
免费SSL证书有哪些
这里列举两个并做详细获取的方法的描述。
进入阿里云的，在左上角“产品与服务”中点击“证书服务”，如下图：
点击右上方的“购买证书”，，如下图：
选择“免费型DV SSL”，其他默认，即可看到右边显示“0元”，如下图：
点击“立即购买”-&“去支付”（注册是0元）-&“完成支付”，如下图：
点击“进入控制台”后可以看到“我的订单”中多了一条最新购买的证书信息，如下图：
点击“补全”完善信息，在绑定域名处输入需要绑定的域名，这里只能输入一个域名，且是公完整并不支持通配符的域名，如下图：
点击“下一步”完善个人信息，如下图：
在域名验证类型处需要选择DNS或文件进行验证，其目的是验证该域名是属于您的，选择DNS不需要域名能正常访问，只需要在域名管理处增加CName即可；选择文件则需要该域名能正常访问且能在该域名下找到对应的文件。
最后选择“系统生成CSR”创建并提交审核即可。
最后一步就是验证域名，即加CName或上传指定文件到域名服务器下进行验证，一般CName一个小时左右，文件方式几分钟即可审核完成
审核通过后可以看到我的订单中证书状态为已签发，并在操作列中有下载链接，点击下载可以看到下图：
在这里提供了Nginx、Apache、Tomat、IIS 6、IIS 7、IIS 8、其他这几种证书，也就是可以使用这几种web容器来做https协议。
此时完成了阿里云的免费证书的申请。
进入腾讯云管理中心
选择左上角“云产品”-&“SSL证书管理”，如下图：
点击左上方“申请证书”（不是购买证书哦），如下图：
选择“免费版DVSSL证书”后点击“确定”，如下图：
填写申请信息，通用名称填写需要绑定的域名，如下图：
选择域名验证方式，如下图：
点击“确定申请”后，出现申请已提交信息，表示提交成功，如下图：
在证书详情里面可以看到验证方法的信息（这里选择的是DNS验证），如下图：
验证通过后，在列表页中可以看到“已颁发”和“下载”字样，如下图：
此时已完成腾讯云免费SSL证书的获取，点击“下载”即可下载证书到本地。
获取到了SSL证书后的工作就是使用这些证书进行https访问。
配置方法可以参考文章：
本文章来自
腾讯云|阿里云购买免费SSL证书，让站长们戴上https安全协议的帽子
阿里云申请免费DV SSL证书部署https全过程
解决腾讯云安装SSL证书后，服务器可以打开https,外网打不开的问题。
腾讯云部署https请求
网站支持https之二：腾讯云上免费获取SSL证书的步骤
如何免费获取腾讯云SSL证书
【使用腾讯云或阿里云配置域名SSL证书】
免费ssl证书获取_腾讯云
申请免费的腾讯云SSL证书，实现https访问
利用腾讯云免费证书打造全https站
没有更多推荐了，