【玩转腾讯云】为网站上云SSL证书

2020-05-06 11:13:21 浏览数 (1)

腾讯云提供了很多产品,这篇文章教你玩转SSL证书的申请和后续维护流程。

图一、SSL证书导图图一、SSL证书导图

一、申请SSL证书

申请SSL证书分为免费和收费方式。收费方式和免费的区别是,收费的CA机构签发检查资质更严格,收费证书的安全,这意味着如果在一个对安全领域要求更高的场合倾向于使用收费证书。另外收费的证书支持更多的功能,比如说多域名和泛域名证书,往往免费的证书不支持。

腾讯云同时提供了这两种证书申请方式:

图二、腾讯云证书申请方式图二、腾讯云证书申请方式

1.1 免费证书

图三、免费证书申请渠道图三、免费证书申请渠道
图四、免费证书仅提供证书保护的域名和联系邮箱图四、免费证书仅提供证书保护的域名和联系邮箱

DNS校验是必须的。这是为什么呢?其实这里做DNS是为了确保证书申请的域名是真实存在的域名,并且可以解析到IP。而不会滥发证书。如果域名是已经在腾讯云控制台设置过解析ip,这里直接勾选自动DNS验证。如果网站可以访问,也可以使用文件验证方式。

图五、证书申请的域名DNS验证步骤图五、证书申请的域名DNS验证步骤

点击确认申请完全流程。系统提示在1个工作日完成申请,但是实测1个小时内已经申请到了证书。

图六、完成提交申请图六、完成提交申请

1.2 收费证书

收费证书提供更完善更安全的功能,证书品牌也支持注入GeoTrust等几个大的知名CA机构。按照申请的年限,已经支持多域名泛域名等功能的不同,价格也不同。多域名证书是指一个证书可以颁发给多个不同的域名,泛域名值得是证书可以颁发一个一系列的二级子域名。这种一证书多域名用的方式可以节省企业的建站成本。

图七、收费证书购买图七、收费证书购买

二、维护使用证书

2.1 上传证书

2.1.1 自签证书

用以下3条linux命令生成另一个自签证书,证书certificate.pem和私钥key.pem。

代码语言:javascript复制
openssl ecparam -genkey -name prime256v1 -out key.pem
openssl req -new -sha256 -key key.pem -out csr.csr
openssl req -x509 -sha256 -days 365 -key key.pem -in csr.csr -out certificate.pem

自签证书后,打开这两个文件,把文件内容复制黏贴到上传框。

图八、上传证书图八、上传证书

然后点击上传后,就可以在控制台看到这本证书。

图九、管理的所有证书图九、管理的所有证书

2.2、使用证书

在控制台选择某本证书下载,会打包成一个文件,这个压缩包包含了几个主流服务器的证书文件类型。我们这里选择Nginx。然后把这两本文件上传到网站机器上。

图十、下载的证书目录结构图十、下载的证书目录结构

配置nginx.conf并重启

图十一、nginx加载证书配置图十一、nginx加载证书配置

三、监控证书

添加一个监控证书,填入监控域名。点击重新检测。就可以看到一个简单的状态信息。这里告诉我们证书状态是否未过期、并且证书是域名有效的一些合法性检测。

图十二、添加监控项目图十二、添加监控项目

点击控制面板,可以看到更宏观的视图,包括一些证书安全漏洞检查等等信息。

图十三、监控宏观视图图十三、监控宏观视图

也可以点进去看到,这里证书的更多信息。可以看到这里用到一个很知名的ssl检查工具网站sslpod.myssl.com。对证书有更详细的了解

图十四、证书安全详情图十四、证书安全详情

0 人点赞