阿里云怎么配置https

A. 阿里云如何配置https域名解析

0、开始之前

文章图片很多，注意流量

首先你得准备好一个已经备案成功的域名，并且有一个在阿里云的服务器部署了的网站。

然后就是你迫切的希望升级网站为HTTPS部署。

那么我们开始吧！

1、申请CA证书

1.1登录阿里云控制台，选择菜单：安全》CA证书服务》购买证书

1.2选择免费SSL证书，点击购买

5、大功告成，享受安全的HTTPS吧

B. 阿里云虚拟主机怎么部署https

在阿里云控制台，产品与服务，选择CA证书服务
点击右上角购买证书。选择免费型，立即购买。
之后补全信息，提交审核，一般15分钟左右就好了
这时候我们到控制台，产品与服务找到CDN，添加域名；
IP填虚拟主机IP地址
然后在CDN
域名管理，选中添加的域名，点击右边的配置，找到HTTPS设置，修改配置。
状态开启，选择刚才申请的免费证书，强制跳转，HTTP--HTTPS确定。
回到CDN管理，域名管理复制CName。
回到你所要开启https的域名，添加一个解析。
控制台域名，域名管理，添加解析
记录类型
CANME
主机记录WWW
记录值就是刚才CDN里面复制的CName
所有配置完毕，30分钟左右就生效了。
你可以输入自己的域名，如果http自动转换成https就说明成功了。
需要注意的是CDN是收费的，目前有两种收费方式。流量计费和请求数，根据自己需求选择。

C. 阿里云CDN设置

服务器 阿里云 云服务器ECS Centos7.4
域名 阿里云的域名
SSL协议 certbot生成的SSL协议

阿里云官方CDN 学习路径

1.为什么使用CDN？
阿里云内容分发网络 CDN 将源站内容分发至最接近用户的节点，使用户可就近取得所需内容，提高用户访问的响应速度和成功率。
从这个节点获取资源，使得访问更加流畅，降低真实服务器的负载。

对于家大业大的服务器拥有者可以通过增加带宽达到相同的效果。

登录阿里云账号，在阿里云 控制台页面 下面产品选择CDN，或者左上角侧导航点击打开，再下来选项中选择CDN

1.开通方式有两种，一种流量方式，一种带宽方式
使用流量，通过购买流量包，在访问缓存在节点资源时候，会消耗流量，直到流量用完。
使用带宽，包年服务

2.选择某一种方式，勾选同意CDN协议，即可开通成功

1.如果走流量，进入CDN控制台，购买流量包
配置如下

2.创建加速域名（域名管理-添加域名）目的获取 CNAME

3.解析域名
针对阿里云域名，依照 步骤

值得注意的主机记录与记录类型搭配的组合 不能与列表中的其他项目冲突

在这一切都完成后，通过WIN+R 输入cmd打开终端，通过 ping 加速域名 来查看是否成功开启CDN
如果出现

如果回显信息包括 . kunlun*.com，则表示CNAME配置已经生效，域名加速也已生效。

访问下自己加速域名下的资源看一看,是否出现了问题?

出现的问题：
1.如果 CDN管理 中的HTTPS显示未开启，而自己确开通了HTTPS（配置了SSL），那么通过HTTPS访问网站资源会报错，说是无法加密解密，我出现这个问题，是因为我使用的certbot配置的SSL,由于挂载得项目需要python2.7等问题，虽然配置SSL成功，但是有一个警告
NGINX configured with OpenSSL alternatives is not officiallysupported by Certbot.
所以出现这个问题后，我不知道是不是因为SSL本身配置的问题

查看 域名管理列表 - 点击加速域名右侧的 管理 ，选择HTTPS配置 强制跳转
配置了 https -> http
最终问题得到了解决，资源可以访问到了

2. 配置CDN且预热资源成功，但是总是无法命中，回源怎么办？

进入CDN控制台 -》 域名管理 -》管理 -》缓存配置 -》 添加

地址添加需要缓存的文件后缀，多个以“,”号分隔；添加过期时间和权重，其中权重 1-99 ，权重越高，执行规则越优先

添加完一个后，可以继续点击添加，添加另一个规则。
以我的为例，我需要对视频进行CDN节点加速，则

1. 关闭CDN服务 , 选择列表内的操作域名 最右侧三个点，点开有 停止 与 删除 ，可供操作

2.CDN提供资源的刷新和预热功能。
通过刷新功能，您可以强制CDN节点回源并获取最新文件；
通过预热功能您可以在业务高峰前预热热门资源，提高资源访问效率。
通过本文您可以了解刷新和预热功能的配置方法，也可以查询其操作记录。

刷新操作，将最新内容强制推送至CDN节点 - 进入 CDN控制台 -》 点击 刷新预热 -》 选择操作方式 -》 添加对应内容
如：

刷新
淘汰旧文件，重新获取文件的新版本
当文件有跟新时，需要手动执行刷新操作，将CDN中缓存的历史版本设置为超时，并从源站获取最新的版本。
刷新操作相对于一个触发更新的动作。
如果不刷会有啥问题呢?
用户在访问URL时，命中的是CDN中的旧数据，因此需要“缓存刷新”。

预热
首次发布的文件，主动从源站推送到CDN，让用户访问到CDN时不用回源命中
预热时间
资源预热完成时间将取决于用户提交预热文件的数量、文件大小、源站带宽情况、网络状况等诸多因素。

手动访问加速域名，只是推送数据到离你最近的节点，而不是所有的节点，所以阿里云CDN还是需要预热或刷新同步资源。

D. 阿里云怎么配置https服务器

作为国内领先的云计算服务商，小鸟云有着完善的行业解决方案和卓越的云计算技术。自主研发的纯SSD架构云服务器，以50,000IOPS随机读写速度、800Mb/s吞吐量的高性能数值刷新行业记录。其整合资源、细化资源到落地资源的服务举措，旨在打造差异化的开放式闭环生态系统，帮助用户快速构建稳定、安全的云计算环境。
配置HTTPS主机，必须在server配置块中打开SSL协议，还需要指定服务器端证书和密钥文件的位置：
server {
listen 443;
server_name www.example.com;
ssl on;
ssl_certificate www.example.com.crt;
ssl_certificate_key www.example.com.key;
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
...
}

服务器证书是公开的，会被传送到每一个连接到服务器的客户端。而私钥不是公开的，需要存放在访问受限的文件中，当然，nginx主进程必须有读取密钥的权限。私钥和证书可以存放在同一个文件中：
ssl_certificate www.example.com.cert;
ssl_certificate_key www.example.com.cert;

这种情况下，证书文件同样得设置访问限制。当然，虽然证书和密钥存放在同一个文件，只有证书会发送给客户端，密钥不会发送。
ssl_protocols和ssl_ciphers指令可以用来强制用户连接只能引入SSL/TLS那些强壮的协议版本和强大的加密算法。从1.0.5版本开始，nginx默认使用“ssl_protocols SSLv3 TLSv1”和“ssl_ciphers HIGH:!aNULL:!MD5”，所以只有在之前的版本，明确地配置它们才是有意义的。从1.1.13和1.0.12版本开始，nginx默认使用“ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2”。
CBC模式的加密算法容易受到一些攻击，尤其是BEAST攻击（参见CVE-2011-3389）。可以通过下面配置调整为优先使用RC4-SHA加密算法：
ssl_ciphers RC4:HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;

E. 阿里云没有www怎么申请https

1、生成证书请求文件CSR
用户进行https证书申请的第一步就是要生成CSR证书请求文件，系统会产生2个密钥，一个是公钥就是这个CSR文件，另外一个是私钥，存放在服务器上。要生成CSR文件，站长可以参考WEB SERVER的文档，一般APACHE等，使用OPENSSL命令行来生成KEY+CSR2个文件，Tomcat，JBoss，Resin等使用KEYTOOL来生成JKS和CSR文件，IIS通过向导建立一个挂起的请求和一个CSR文件。
温馨提醒：如果是申请沃通https证书，其数字证书商店buy.wosign.com已经支持CSR文件由系统自动生成，用户无需事先在Web服务器上生成CSR文件。
2、将CSR提交给CA机构认证
CA机构一般有2种认证方式：
(1)域名认证，一般通过对管理员邮箱认证的方式，这种方式认证速度快，但是签发的证书中没有企业的名称，只显示网站域名，也就是我们经常说的域名型https证书。
(2)企业文档认证，需要提供企业的营业执照。https证书申请CA认证一般需要1-5个工作日。
同时认证以上2种方式的证书，叫EV https证书，EV https证书可以使浏览器地址栏变成绿色，所以认证也最严格。EV https证书多应用于金融、电商、证券等对信息安全保护要求较高的领域。
3、获取https证书并安装
在收到CA机构签发的https证书后，将https证书部署到服务器上，一般APACHE文件直接将KEY+CER复制到文件上，然后修改HTTPD.CONF文件;TOMCAT等需要将CA签发的证书CER文件导入JKS文件后，复制到服务器，然后修改SERVER.XML;IIS需要处理挂起的请求，将CER文件导入。

F. 手把手申请及自动更新https免费证书，亲测有效！

Let’s Encrypted的证书只有三个月的免费期， 使用acme.sh脚本可实现自动更新https证书。以阿里云为例，申请域名为 me2you.online泛域名

1、安装curl https://get.acme.sh | sh

2、运行命令后在当前用户目录下生成目录.acme.sh，并自动增加crontab内容。

3、acme.sh建议使用DNS验证方式，在阿里云的账户配置ID和Secret。

不同DNS的证书配置方式见 ~/.acme.sh/dnsapi/README.md

以阿里云为例

在登陆界面的命令行输入

[root@demo ~]$ export Ali_Key="xxx"

[root@demo ~]$ export Ali_Secret="xxx"

信息会在~/.acme.sh/account.conf 文件记录， 以备下次使用。

4 生成泛域名证书

acme.sh --issue --dns dns_ali -d me2you.online -d *.me2you.online

5查看证书

[ngx@demo .acme.sh]$ acme.sh --list

5、安装证书

acme.sh --install-cert -d me2you.online

--key-file /application/nginx/certs/me2you.online/me2you.online.key

--fullchain-file /application/nginx/certs/me2you.online/me2you.online.cer

--reloadcmd "/application/nginx/sbin/nginx -s reload"

命令的参数会被记录下来， 下次证更新的时候会自动运行。

6、 nginx成功测试

其它说明：

7、删除证书

acme.sh --remove -d *domain.com

8、目前由于acme协议和Let’s Encrypt CA都在频繁的更新，因此acme.sh也经常更新以保持同步，如果需要更新acme.sh版本的话，通过以下方式即可更新版本：

1.手动更新： acme.sh --upgrade

2.自动更新： acme.sh --upgrade --auto-upgrade ，之后acme.sh就会自动保持更新。

3. 关闭自动更新： acem.sh --upgrade --auto-upgrade 0

G. 阿里云如何使用https

SSL证书+域名或公网IP+服务器配置证书=HTTPS访问

启动https访问：

1. 确定需要HTTPS的域名，进入淘宝中找到：Gworg，选择SSL证书申请。

2. 获得SSL证书配置到服务器就可以实现HTTPS访问了。

快速解决办法：直接找到Gworg提供域名与服务器信息可以快速实现网站HTTPS。