【背景】公司采购阿里云SSL证书服务,其选择CFCA颁发的SSL证书进行通信,证书类型为通配符域名类型。在阿里云的SSL证书管理控制平台中操作区域的按钮功能有:部署(当前仅支持云服务)、下载、详情。因当前我司服务器是在线下本地部署,因此当前使用下载方式的证书进行配置。
一、证书下载
(阿里云:SSL证书服务支持下载已签发、已过期和即将过期的证书;不支持下载其他状态的证书)
【操作步骤】
登录阿里云SSL证书控制台。
-
在SSL证书页面,定位到需要下载的证书并单击证书卡片右下角的下载。
image 定位到您需要安装证书的服务器类型并单击右侧操作栏的下载,将证书压缩包下载到本地。
-
将证书解压缩后安装到您的Web服务器上。
阿里云SSL证书支持安装到以下类型的Web服务器:
【阿里云官方文档地址:https://help.aliyun.com/document_detail/98737.html?spm=a2c4g.11186623.6.632.748a5d6frpPPOy】
二、SSL证书安装指南
阿里云SSL证书服务可提供Nginx服务器、Apache服务器、Tomcat服务器、IIS服务器和其他服务器类型证书下载并安装到对应的服务器中。
不同格式的证书下载解压后可能包含以下文件:
.key文件是证书私钥文件,如果申请证书时没有选择系统创建CSR,则没有该文件。请您保存好该私钥文件。
.crt文件是证书文件,一般包含两段内容。如果是Apache服务器,会将证书文件拆分成 _public.crt(证书文件)和_chain.crt(证书链或中间证书文件)。
-
.pem文件是证书文件,一般包含两段内容。Nginx证书会使用扩展名文件,在阿里云SSL证书中与.crt文件一样。
【说明】 .crt扩展名的证书文件采用Base64-encoded的PEM格式文本文件,可根据需要,修改成.pem等扩展名。 -
.pfx文件,一般适合Tomcat/IIS服务器。每次下载都会产生新密码,该密码仅匹配本次下载的证书。如果需要更新证书文件,同时也要更新密码。
【说明】 如果证书是在阿里云的产品上使用,建议下载Nginx服务器版本的证书。
1. IIS服务器上安装证书
阿里云SSL证书服务支持下载SSL证书并安装到IIS服务器上,从而使您的IIS服务器支持HTTPS安全访问。本文介绍了在IIS服务器上安装证书的具体操作。
前提条件
- 已安装IIS服务器,且您的IIS服务器上已经开启了443端口(HTTPS服务的默认端口)。
- 已安装OpenSSL工具。
- 已下载IIS服务器所需要的证书文件。有关证书下载的具体操作,请参见下载证书。
【说明】 申请证书时需要选择系统自动创建CSR,如果选择手动创建CSR,则不会生成证书文件。您需要选择其他服务器下载.crt证书文件后,使用openssl命令将.crt文件的证书转换成.pfx格式。
(此处主要是中在申请CFCA证书时,会配置选项该CSR证书文件。所以在申请时,相关key都必须保存好)
【操作步骤】
登录阿里云SSL证书控制台。
-
在SSL证书页面,定位到需要下载的证书实例并单击证书卡片右下角的下载。
image -
定位到IIS服务器类型并单击右侧操作栏的下载将IIS版证书压缩包下载到本地。
image 解压已下载保存到本地的IIS证书文件。您将看到文件中有一个证书文件(以.pfx为后缀或文件类型)和一个密钥文件(以.txt为后缀或文件类型)。
说明 每次下载证书都会产生新的密码,该密码仅匹配本次下载的证书。如果需要更新证书文件,同时也要更新匹配的密码文件。
重点、重点、重点说明当前我下载下来IIS只有.pem文件并未有.pfx文件和私钥。客服原因是在申请CFCA证书时,我选择了手动证书配置CSR所以才只会有.pem的文件,后续申请的朋友一定注意这个细节沟通确认后在进行申请。
解决方式:
1.安装过openssl工具,需要使用该工具将.pem证书文件转成.pfx文件;
可输入 openssl version 查看是否安装了该工具
2.提前准备好之前申请CFCA证书时生成的key.text(文本),新建文件夹将key.text(文本)和下载.pem证书文件放入;
cd 新建文件夹
执行
openssl pkcs12 -export -out hxjc.pfx -inkey hxjc.key -in hxjc.pem
“hxjc.pfx“为你要转成的格式证书
“hxjc.key“为CSR申请时才生私钥文本
“hxjc.pem“为你在阿里云下载后的证书
3.文件会生成你IIS服务器部署所需的.pfx格式证书。同时要注意上传部署时可能会需要用到密码,改密码需和私钥文本一同保存。
