客服电话:13904310313 
部署证书至阿里云的云产品
本文介绍如何创建证书部署任务,在指定的部署时间,单个或批量地将SSL证书部署至阿里云云产品。 重要 部署SSL证书时,如遇到问题,请联系产品技术专家进行咨询,详情请参见专家一对一服务。 前提条件 本文不涉及云服务器(如ECS、轻量应用服务器)的操作指导,如需将证书部署至云服务器,请参见通过控制台部署证书至阿里云云服务器(云服务器部署)。 已明确部署任务支持的云产品及适用场景。 部署任务支持的云产品及适用场景 重要 部署任务适用场景解释: 首次部署证书:表示首次部署证书,可以通过数字证书管理服务控制台进行操作。 更新已有证书:表示云产品已部署过证书,需要替换证书的场景。 放大查看 产品类别 云产品 部署任务适用场景 证书配置场景 相关文档 计算 云虚拟主机 首次部署证书 更新已有证书 HTTPS加密访问网站场景 在云虚拟主机控制台配置SSL证书,请参见开启HTTPS加密访问。 容器 容器镜像服务ACR 更新已有证书 HTTPS域名访问容器镜像服务企业版实例场景 首次部署证书,请参见通过自定义域名访问容器镜像服务企业版实例。 容器服务Kuberbetes版本ACK 更新已有证书 ACK托管与专有集群 更新AlbConfig证书配置 更新Secret证书 重要 部署至Secret的证书,请勿在容器服务ACK中手动修改。 首次部署证书,请参见: Nginx Ingress ALB Ingress-配置HTTPS证书以实现加密通信 MSE Ingress-配置HTTPS证书 Serverless Serverless应用引擎-网关路由 更新已有证书 网关路由转发协议配置HTTPS场景(ALB和CLB) 首次部署证书,请参见: Serverless应用引擎(新版) 为应用设置路由规则(ALB) 为应用设置路由规则(CLB) Serverless应用引擎(旧版) 为应用配置网关路由(ALB) 为应用配置网关路由(CLB) 函数计算FC 更新已有证书 HTTP函数场景 首次部署证书,请参见配置自定义域名。 中间件 微服务引擎-云原生网关 更新已有证书 云原生网关路由场景 首次部署证书,请参见创建域名。 API网关 更新已有证书 HTTPS域名访问API场景 首次部署证书,请参见使用HTTPS的域名访问API。 网络与CDN 全球加速GA 更新已有证书 HTTPS域名安全加速访问场景 首次部署证书,请参见: HTTPS安全加速访问HTTP网站 单个全球加速实例加速访问多个HTTPS域名 应用型负载均衡ALB 网络型负载均衡NLB 传统型负载均衡CLB 更新已有证书 HTTPS监听来转发来自HTTPS协议的请求的场景(服务器证书) 说明 对于客户端证书您需要在负载均衡控制台完成部署。部署客户端证书的具体操作,请参见配置全链路HTTPS访问实现加密通信。 首次部署证书,请参见: 应用型负载均衡ALB:添加HTTPS监听 网络型负载均衡NLB:NLB添加TCPSSL监听 传统型负载均衡CLB:添加HTTPS监听 内容分发网络CDN 首次部署证书 更新已有证书 HTTPS安全加速场景 在CDN控制台配置SSL证书,请参见配置HTTPS证书 全站加速DCDN 首次部署证书 更新已有证书 HTTPS安全加速场景 在DCDN控制台配置SSL证书,请参见配置HTTPS证书 存储 对象存储OSS 更新已有证书 HTTPS的方式访问OSS服务场景 说明 绑定CDN加速域名,需在CDN控制台替换证书。 首次部署证书,请参见实现HTTPS访问。 安全 Web应用防火墙(WAF) 更新已有证书 CNAME接入场景 首次部署证书请参见: WAF 3.0:添加域名及配置HTTPS证书 WAF 2.0:添加域名及配置HTTPS证书 DDoS高防 更新已有证书 DDoS高防域名接入场景 首次部署证书请参见更换服务器HTTPS证书。 媒体服务 视频直播 首次部署证书 更新已有证书 推/播流HTTPS安全加速场景 在视频直播控制台配置SSL证书,请参见: 推流:配置HTTPS安全加速 播流:配置HTTPS安全加速 视频点播 首次部署证书 更新已有证书 分发加速场景 在视频点播控制台配置SSL证书,请参见HTTPS安全加速。 人工智能与机器学习 人工智能平台 PAI(原机器学习平台) 更新已有证书 模型在线服务EAS(Elastic Algorithm Service):专属网关使用自定义域名 首次部署证书,请参见专属网关使用自定义域名。 说明 如果您的阿里云产品不在数字证书管理服务支持部署的范围内或需要部署国密证书(仅CDN、DCDN和DDoS防护产品支持),请您联系阿里云产品对应的商务经理咨询或参考对应的阿里云产品帮助文档部署。以下为您列举部分云产品部署SSL证书的操作指导,供您参考。 云·速成美站:SSL证书部署操作,请参见网站HTTPS。 云·企业官网:SSL证书部署操作,请参见网站HTTPS。 内容分发网络CDN(国密证书部署):CDN国密证书部署操作,请参见调用SetCdnDomainSMCertificate接口设置国密证书。 全站加速 DCDN(国密证书部署):DCDN国密证书部署操作,请参见配置国密HTTPS。 DDoS 防护(国密证书部署):DDoS国密证书部署操作,请参见更换服务器HTTPS证书。 已通过数字证书管理服务购买和申请证书(状态为已签发)。如需购买和申请证书,请参见购买正式证书和申请证书。 已签发的SSL证书名称不能包含中文。如图: 域名已完成工信部ICP备案(仅限中国内地部署的服务)。 如何查看域名解析记录以及 ICP 备案信息 打开网络拨测工具,选择网络诊断分析,输入当前域名,确认以下信息: DNS 服务商解析结果: 若为 A 记录,则其指向的 IP 地址必须与待部署证书的目标服务器公网IP一致。 若为 CNAME 记录,则其指向的域名必须与待部署证书的流量入口(如 WAF、CDN、ALB 等)提供的 CNAME 地址一致。 备案检查为网站已备案。若显示“网站未备案,请咨询网站服务器提供商”,请完成备案后再安装证书。 如果您使用的是阿里云服务器,请前往阿里云备案系统进行网站备案,具体操作请参见ICP备案流程。 如果您使用的不是阿里云服务器,请前往服务器提供商的备案系统或工信部备案官网进行备案。 确认证书状态,以及证书和目标域名的匹配情况。 确认证书状态和域名匹配情况 在SSL证书管理页面,定位需部署的目标证书,并确认以下信息: 证书状态:确保其为已签发。若为即将过期或已过期,则需续费SSL证书。 绑定域名:确保其能够匹配所有需保护的域名,否则未匹配的域名访问 HTTPS 时将出现安全警告。如需添加或修改,请参见追加和更换域名。 确认证书是否匹配目标域名 证书的绑定域名可包含多个精确域名和通配符域名。每类域名的匹配规则如下: 精确域名:仅对指定域名生效。 example.com 仅对 example.com 生效。 www.example.com 仅对 www.example.com 生效。 通配符域名:仅对其一级子域名生效。 *.example.com 对 www.example.com、a.example.com 等一级子域名生效。 *.example.com 对根域名 example.com 和多级子域名 a.b.example.com 不生效。 说明 如需匹配多级子域名,绑定域名中需包含该域名(如 a.b.example.com),或包含相应的通配符域名(如 *.b.example.com)。 操作步骤 步骤一:购买部署次数 说明 仅部署上传证书类型的证书时会消耗部署次数。非上传证书类型,请直接前往步骤二:授权检查。 部署次数不足时,请购买部署次数,费用为30元/次,有效期为一年。 非上传证书类型,以及不同阿里云账号(账号需归属于同一个经过实名认证的个人或企业用户)之间共享的证书,部署时不消耗部署次数。部署失败时,将返还相应的部署次数。 步骤二:授权检查 说明 非容器服务ACK类型的部署任务,请直接前往步骤三:部署证书至云产品资源。 部署证书至容器服务ACK前,您需要通过阿里云账号登录容器服务ACK控制台,对AliyunCASDefaultRole角色授予运维人员管理目标集群的权限,否则数字证书管理服务控制台无法识别Namespace(集群命名空间)。 进入容器服务ACK授权管理页面,并在RAM角色管理页签,输入AliyunCASDefaultRole,单击管理权限。 在权限管理页签,对目标集群添加运维人员权限。 步骤三:部署证书至云产品资源 部署单个证书至云产品资源 首次使用部署服务,需要按照页面提示进行授权,授权后即可创建部署任务。关于授权说明,请参见授权访问云资源。 登录数字证书管理服务控制台。 在左侧导航栏,选择证书管理 > SSL证书管理。 在SSL证书管理页面,单击对应的证书页签,并在证书列表的操作列,单击部署。 通过私有CA服务签发的证书会同步至上传证书页签,您可以在该页签进行操作。 在创建任务页面的选择资源引导页,选择或调整对应的云产品和资源(支持选择一个或多个云产品及对应资源),单击预览并提交。 系统会根据您选择的SSL证书智能匹配已经配置过SSL证书的云产品资源,您可以在智能匹配提示对话框,单击确定,系统会将匹配到的云产品资源添加到已选择资源区域,随后您可以根据需求对已选择的云产品资源进行调整。 系统会自动识别并拉取所有云产品中的资源,如果您在对应的云产品中未找到目标资源,请您确认以下事项: 在资源总数区域确认资源是否已完成同步,如果资源正在同步中(如图示灰色状态),请您耐心等待资源同步完成。资源同步时间取决于您的当前云产品的资源数。 如果云产品资源同步完成后仍然没有找到对应资源,请您确认是否满足证书部署前提条件。 在任务预览面板,确认部署的证书实例和云产品资源信息,如无问题,单击提交。 预览页面会显示对应云产品匹配的证书个数和消耗的部署次数。证书匹配个数为0表示您选择的证书与云产品资源不匹配,会导致部署失败,请您仔细核对选择的证书。 批量部署证书至云产品资源 首次使用部署服务,需要按照页面提示进行授权,授权后即可创建部署任务。关于授权说明,请参见授权访问云资源。 登录数字证书管理服务控制台。 在左侧导航栏,选择部署和资源管理 > 云产品部署。 在云产品部署页面,单击创建任务,按照以下步骤部署SSL证书。 在基础配置引导页,配置任务名称、联系人和部署时间,单击下一步。 放大查看 配置项 说明 任务名称 自定义部署任务名称。 联系人 选择部署任务消息提醒联系人,用于接收部署任务提醒消息,最多支持添加10个联系人。 部署时间 立即部署:立即部署证书至阿里云产品。 自定义时间:指定部署任务执行时间,系统会在指定的时间启动部署任务。 在选择证书引导页,选择与云产品资源对应的SSL证书,单击下一步。 通过私有CA服务签发的证书会同步至上传证书页签,您可以在该页签进行选择。 一个部署任务只允许选择一种证书类型下的证书。 在选择资源引导页,选择或调整对应的云产品和资源(支持选择一个或多个云产品及对应资源),单击预览并提交。 说明 SLB单个监听绑定多个服务器证书场景不支持批量部署。 系统会根据您选择的SSL证书智能匹配已经配置过SSL证书的云产品资源,您可以在智能匹配提示对话框,单击确定,系统会将匹配到的云产品资源添加到已选择资源区域,随后您可以根据需求对已选择的云产品资源进行调整。 系统会自动识别并拉取所有云产品中的资源,如果您在对应的云产品中未找到目标资源,请您确认以下事项: 在资源总数区域确认资源是否已完成同步,如果资源正在同步中(如图示灰色状态),请您耐心等待资源同步完成。资源同步时间取决于您的当前云产品的资源数。 如果云产品资源同步完成后仍然没有找到对应资源,请您确认是否满足证书首次部署场景。部署说明,请参见前提条件。 在任务预览面板,确认部署的证书实例和云产品资源信息,如无问题,单击提交。 预览页面会显示对应云产品匹配的证书个数和消耗的部署次数。证书匹配个数为0表示您选择的证书与云产品资源不匹配,会导致部署失败,请您仔细核对选择的证书。 相关操作 查看部署任务详情 在云产品部署页面,定位到目标部署任务,在操作列,单击详情。 在任务详情页,您可以查看目标云产品中实例资源的部署情况,如果有部署失败的资源,您可以在操作列,查看失败原因并做进一步处理。 如定位不出具体的失败原因,请联系产品技术专家进行咨询,详情请参见专家一对一服务。 回滚部署任务 警告 部署任务回滚成功后不返还部署次数。 证书部署成功后,如发现部署的证书不正确或出于其他原因想要撤销当前证书的部署,可通过以下步骤回滚到部署开始前的状态: 在云产品部署页面,定位到目标部署任务,在操作列,单击详情。 在任务详情页,单击对应云产品,并定位到目标云产品中的实例资源,在操作列,单击回滚。 回滚成功后,任务状态变为回滚成功。 删除部署任务 警告 删除任务后无法恢复,请谨慎操作。 在云产品部署页面,定位到目标部署任务,在操作列,单击删除。您也可以选中多个部署任务,在列表下方单击删除。 常见问题 SSL证书是否支持跨阿里云账号部署云产品? 阿里云SSL证书不能直接跨账号部署。 如果多个账号属于同一实名认证主体,可通过证书共享功能实现免费跨账号部署;具体操作,请参见上传和共享SSL证书。 若账号实名认证主体不同,则需在原账号下载证书后,再前往目标账号手动上传和部署。 证书部署成功后,云产品就一定启用了HTTPS吗? 在数字证书管理服务控制台完成云产品部署后,仅表示证书已经推送至对应云产品,您仍需前往对应的云产品控制台验证。 部署证书时云产品资源数显示为0? 创建部署任务时,系统会自动识别并拉取所有云产品中的资源,如果您在对应的云产品中未找到目标资源,请您确认以下事项: 在资源总数区域确认资源是否同步完成,如果资源正在同步中(如图示灰色状态),请耐心等待。资源同步时间取决于当前云产品的资源数。 如果云产品资源同步完成后,仍无法找到对应资源,请确认是否满足证书部署首次配置,如果不满足请前往对应的云产品控制台部署。
