阿里雲怎麼配置https

A. 阿里雲如何配置https域名解析

0、開始之前

文章圖片很多，注意流量

首先你得准備好一個已經備案成功的域名，並且有一個在阿里雲的伺服器部署了的網站。

然後就是你迫切的希望升級網站為HTTPS部署。

那麼我們開始吧！

1、申請CA證書

1.1登錄阿里雲控制台，選擇菜單：安全》CA證書服務》購買證書

1.2選擇免費SSL證書，點擊購買

5、大功告成，享受安全的HTTPS吧

B. 阿里雲虛擬主機怎麼部署https

在阿里雲控制台，產品與服務，選擇CA證書服務
點擊右上角購買證書。選擇免費型，立即購買。
之後補全信息，提交審核，一般15分鍾左右就好了
這時候我們到控制台，產品與服務找到CDN，添加域名；
IP填虛擬主機IP地址
然後在CDN
域名管理，選中添加的域名，點擊右邊的配置，找到HTTPS設置，修改配置。
狀態開啟，選擇剛才申請的免費證書，強制跳轉，HTTP--HTTPS確定。
回到CDN管理，域名管理復制CName。
回到你所要開啟https的域名，添加一個解析。
控制台域名，域名管理，添加解析
記錄類型
CANME
主機記錄WWW
記錄值就是剛才CDN裡面復制的CName
所有配置完畢，30分鍾左右就生效了。
你可以輸入自己的域名，如果http自動轉換成https就說明成功了。
需要注意的是CDN是收費的，目前有兩種收費方式。流量計費和請求數，根據自己需求選擇。

C. 阿里雲CDN設置

伺服器 阿里雲 雲伺服器ECS Centos7.4
域名 阿里雲的域名
SSL協議 certbot生成的SSL協議

阿里雲官方CDN 學習路徑

1.為什麼使用CDN？
阿里雲內容分發網路 CDN 將源站內容分發至最接近用戶的節點，使用戶可就近取得所需內容，提高用戶訪問的響應速度和成功率。
從這個節點獲取資源，使得訪問更加流暢，降低真實伺服器的負載。

對於家大業大的伺服器擁有者可以通過增加帶寬達到相同的效果。

登錄阿里雲賬號，在阿里雲 控制台頁面 下面產品選擇CDN，或者左上角側導航點擊打開，再下來選項中選擇CDN

1.開通方式有兩種，一種流量方式，一種帶寬方式
使用流量，通過購買流量包，在訪問緩存在節點資源時候，會消耗流量，直到流量用完。
使用帶寬，包年服務

2.選擇某一種方式，勾選同意CDN協議，即可開通成功

1.如果走流量，進入CDN控制台，購買流量包
配置如下

2.創建加速域名（域名管理-添加域名）目的獲取 CNAME

3.解析域名
針對阿里雲域名，依照 步驟

值得注意的主機記錄與記錄類型搭配的組合 不能與列表中的其他項目沖突

在這一切都完成後，通過WIN+R 輸入cmd打開終端，通過 ping 加速域名 來查看是否成功開啟CDN
如果出現

如果回顯信息包括 . kunlun*.com，則表示CNAME配置已經生效，域名加速也已生效。

訪問下自己加速域名下的資源看一看,是否出現了問題?

出現的問題：
1.如果 CDN管理 中的HTTPS顯示未開啟，而自己確開通了HTTPS（配置了SSL），那麼通過HTTPS訪問網站資源會報錯，說是無法加密解密，我出現這個問題，是因為我使用的certbot配置的SSL,由於掛載得項目需要python2.7等問題，雖然配置SSL成功，但是有一個警告
NGINX configured with OpenSSL alternatives is not officiallysupported by Certbot.
所以出現這個問題後，我不知道是不是因為SSL本身配置的問題

查看 域名管理列表 - 點擊加速域名右側的 管理 ，選擇HTTPS配置 強制跳轉
配置了 https -> http
最終問題得到了解決，資源可以訪問到了

2. 配置CDN且預熱資源成功，但是總是無法命中，回源怎麼辦？

進入CDN控制台 -》 域名管理 -》管理 -》緩存配置 -》 添加

地址添加需要緩存的文件後綴，多個以「,」號分隔；添加過期時間和權重，其中權重 1-99 ，權重越高，執行規則越優先

添加完一個後，可以繼續點擊添加，添加另一個規則。
以我的為例，我需要對視頻進行CDN節點加速，則

1. 關閉CDN服務 , 選擇列表內的操作域名 最右側三個點，點開有 停止 與 刪除 ，可供操作

2.CDN提供資源的刷新和預熱功能。
通過刷新功能，您可以強制CDN節點回源並獲取最新文件；
通過預熱功能您可以在業務高峰前預熱熱門資源，提高資源訪問效率。
通過本文您可以了解刷新和預熱功能的配置方法，也可以查詢其操作記錄。

刷新操作，將最新內容強制推送至CDN節點 - 進入 CDN控制台 -》 點擊 刷新預熱 -》 選擇操作方式 -》 添加對應內容
如：

刷新
淘汰舊文件，重新獲取文件的新版本
當文件有跟新時，需要手動執行刷新操作，將CDN中緩存的歷史版本設置為超時，並從源站獲取最新的版本。
刷新操作相對於一個觸發更新的動作。
如果不刷會有啥問題呢?
用戶在訪問URL時，命中的是CDN中的舊數據，因此需要「緩存刷新」。

預熱
首次發布的文件，主動從源站推送到CDN，讓用戶訪問到CDN時不用回源命中
預熱時間
資源預熱完成時間將取決於用戶提交預熱文件的數量、文件大小、源站帶寬情況、網路狀況等諸多因素。

手動訪問加速域名，只是推送數據到離你最近的節點，而不是所有的節點，所以阿里雲CDN還是需要預熱或刷新同步資源。

D. 阿里雲怎麼配置https伺服器

作為國內領先的雲計算服務商，小鳥雲有著完善的行業解決方案和卓越的雲計算技術。自主研發的純SSD架構雲伺服器，以50,000IOPS隨機讀寫速度、800Mb/s吞吐量的高性能數值刷新行業記錄。其整合資源、細化資源到落地資源的服務舉措，旨在打造差異化的開放式閉環生態系統，幫助用戶快速構建穩定、安全的雲計算環境。
配置HTTPS主機，必須在server配置塊中打開SSL協議，還需要指定伺服器端證書和密鑰文件的位置：
server {
listen 443;
server_name www.example.com;
ssl on;
ssl_certificate www.example.com.crt;
ssl_certificate_key www.example.com.key;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
...
}

伺服器證書是公開的，會被傳送到每一個連接到伺服器的客戶端。而私鑰不是公開的，需要存放在訪問受限的文件中，當然，nginx主進程必須有讀取密鑰的許可權。私鑰和證書可以存放在同一個文件中：
ssl_certificate www.example.com.cert;
ssl_certificate_key www.example.com.cert;

這種情況下，證書文件同樣得設置訪問限制。當然，雖然證書和密鑰存放在同一個文件，只有證書會發送給客戶端，密鑰不會發送。
ssl_protocols和ssl_ciphers指令可以用來強制用戶連接只能引入SSL/TLS那些強壯的協議版本和強大的加密演算法。從1.0.5版本開始，nginx默認使用「ssl_protocols SSLv3 TLSv1」和「ssl_ciphers HIGH:!aNULL:!MD5」，所以只有在之前的版本，明確地配置它們才是有意義的。從1.1.13和1.0.12版本開始，nginx默認使用「ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2」。
CBC模式的加密演算法容易受到一些攻擊，尤其是BEAST攻擊（參見CVE-2011-3389）。可以通過下面配置調整為優先使用RC4-SHA加密演算法：
ssl_ciphers RC4:HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;

E. 阿里雲沒有www怎麼申請https

1、生成證書請求文件CSR
用戶進行https證書申請的第一步就是要生成CSR證書請求文件，系統會產生2個密鑰，一個是公鑰就是這個CSR文件，另外一個是私鑰，存放在伺服器上。要生成CSR文件，站長可以參考WEB SERVER的文檔，一般APACHE等，使用OPENSSL命令行來生成KEY+CSR2個文件，Tomcat，JBoss，Resin等使用KEYTOOL來生成JKS和CSR文件，IIS通過向導建立一個掛起的請求和一個CSR文件。
溫馨提醒：如果是申請沃通https證書，其數字證書商店buy.wosign.com已經支持CSR文件由系統自動生成，用戶無需事先在Web伺服器上生成CSR文件。
2、將CSR提交給CA機構認證
CA機構一般有2種認證方式：
(1)域名認證，一般通過對管理員郵箱認證的方式，這種方式認證速度快，但是簽發的證書中沒有企業的名稱，只顯示網站域名，也就是我們經常說的域名型https證書。
(2)企業文檔認證，需要提供企業的營業執照。https證書申請CA認證一般需要1-5個工作日。
同時認證以上2種方式的證書，叫EV https證書，EV https證書可以使瀏覽器地址欄變成綠色，所以認證也最嚴格。EV https證書多應用於金融、電商、證券等對信息安全保護要求較高的領域。
3、獲取https證書並安裝
在收到CA機構簽發的https證書後，將https證書部署到伺服器上，一般APACHE文件直接將KEY+CER復制到文件上，然後修改HTTPD.CONF文件;TOMCAT等需要將CA簽發的證書CER文件導入JKS文件後，復制到伺服器，然後修改SERVER.XML;IIS需要處理掛起的請求，將CER文件導入。

F. 手把手申請及自動更新https免費證書，親測有效！

Let』s Encrypted的證書只有三個月的免費期， 使用acme.sh腳本可實現自動更新https證書。以阿里雲為例，申請域名為 me2you.online泛域名

1、安裝curl https://get.acme.sh | sh

2、運行命令後在當前用戶目錄下生成目錄.acme.sh，並自動增加crontab內容。

3、acme.sh建議使用DNS驗證方式，在阿里雲的賬戶配置ID和Secret。

不同DNS的證書配置方式見 ~/.acme.sh/dnsapi/README.md

以阿里雲為例

在登陸界面的命令行輸入

[root@demo ~]$ export Ali_Key="xxx"

[root@demo ~]$ export Ali_Secret="xxx"

信息會在~/.acme.sh/account.conf 文件記錄， 以備下次使用。

4 生成泛域名證書

acme.sh --issue --dns dns_ali -d me2you.online -d *.me2you.online

5查看證書

[ngx@demo .acme.sh]$ acme.sh --list

5、安裝證書

acme.sh --install-cert -d me2you.online

--key-file /application/nginx/certs/me2you.online/me2you.online.key

--fullchain-file /application/nginx/certs/me2you.online/me2you.online.cer

--reloadcmd "/application/nginx/sbin/nginx -s reload"

命令的參數會被記錄下來， 下次證更新的時候會自動運行。

6、 nginx成功測試

其它說明：

7、刪除證書

acme.sh --remove -d *domain.com

8、目前由於acme協議和Let』s Encrypt CA都在頻繁的更新，因此acme.sh也經常更新以保持同步，如果需要更新acme.sh版本的話，通過以下方式即可更新版本：

1.手動更新： acme.sh --upgrade

2.自動更新： acme.sh --upgrade --auto-upgrade ，之後acme.sh就會自動保持更新。

3. 關閉自動更新： acem.sh --upgrade --auto-upgrade 0

G. 阿里雲如何使用https

SSL證書+域名或公網IP+伺服器配置證書=HTTPS訪問

啟動https訪問：

1. 確定需要HTTPS的域名，進入淘寶中找到：Gworg，選擇SSL證書申請。

2. 獲得SSL證書配置到伺服器就可以實現HTTPS訪問了。

快速解決辦法：直接找到Gworg提供域名與伺服器信息可以快速實現網站HTTPS。