阿里雲申請雲盾免費SSL證書（https）

本博文轉載自：http://blog.csdn.net/VirusFu/article/details/54926360

因項目需要須使用https服務，得知阿里雲可以免費申請。

我們的前提：  1.有阿里雲的服務器賬號。

                      2.申請的域名託管在阿里雲的雲解析服務

有了這兩個前提申請就方便快捷多了。

1.登錄阿里雲–>安全(雲盾)–>證書服務

2.選擇購買證書

3.在配置單中選擇 “免費型DV SSL”   證書提供商品牌爲:“賽門鐵克”

                           注意:免費數字證書,最多保護一個明細子域名,不支持通配符，一個阿雲帳戶最多簽發20張免費證書

4.支付 （0元） 

5.支付後會看到一條狀態爲“待完成”的記錄，此時千萬別以爲就可以等待阿里雲審覈了，其實後面還是有資料要填寫的。

6.選擇 補全，並填寫相應信息。真實填寫就可以了。包括：域名、姓名、郵箱等等。因爲我的域名是託管到阿里雲解析服務的，我的認證方式DNS解析認證

    此時有兩個情況,第一種 勾選 證書綁定的域名在[阿里雲的雲解析]產品中,授權系統自動添加一條記錄以完成域名授權驗證:     

        1) 勾選了發送cname。填寫完成後纔是“待審覈”狀態，等待就可以了。

        2) 1個小時左右就會收到阿里雲的郵件,接收郵件地址就是在之前填寫補全信息的郵件地址。郵件內如如下:

        3)郵件的內容：發送給你的 主機記錄和記錄值，這個應該是阿里雲去做的認證審覈。

        4).登錄到你的阿里雲域名託管賬戶，找到你申請證書的域名添加下面信息，注意主機記錄和記錄值別填寫反了

         5)等待10分鐘，此過程阿里雲系統會去檢測這條cname，檢測到了就成功，此時你的域名證書記錄狀態爲“已簽發”

       此時有兩個情況,第二種 :不要勾選 或者 雲推送阿里雲-雲解析結果失敗:    

           1).不勾選 或者 雲推送阿里雲-雲解析結果失敗

           2).提交後點擊進度或者詳情查看申請信息:

     

         3)看到記錄值 信息後, 這個信息需要到你的管理賬戶中配置如下規則,   

記錄類型:TXT  記錄值:要與申請詳情的 記錄值填寫一致.

         4)配置好後,  回到申請證書的賬戶下,  載進度詳情中,找到配置檢查配置, 點擊後 會提示DNS配置正確,請耐心等待.說明驗證域名有效性成功…  

         

          5) 等待1個小時左右 會看到審覈狀態我已簽發..

7.下載此證書，選擇對應的應用服務器，我們用的是tomcat，下載後一個壓縮文件，裏面包含四個文件。

8.安裝證書，我選擇的是PFX安裝方式：

1、證書格式轉換

在Tomcat的安裝目錄下創建cert目錄，並且將下載的全部文件拷貝到cert目錄中。如果申請證書時是自己創建的CSR文件，附件中只包含214014471160602.pem文件，還需要將私鑰文件拷貝到cert目錄，命名爲214014471160602.key；如果是系統創建的CSR，請直接到第2步。

到cert目錄下執行如下命令完成PFX格式轉換命令，此處要設置PFX證書密碼，請牢記：

openssl pkcs12 -export -out 214014471160602.pfx -inkey 214014471160602.key -in 214014471160602.pem
2、PFX證書安裝

找到安裝Tomcat目錄下該文件server.xml,一般默認路徑都是在 conf 文件夾中。找到 <Connection port=”8443” 標籤，增加如下屬性：

keystoreFile=”cert/214014471160602.pfx”
keystoreType=”PKCS12”
#此處的證書密碼，請參考附件中的密碼文件或在第1步中設置的密碼
keystorePass=”證書密碼”

完整的配置如下，其中port屬性根據實際情況修改：

<Connector port=”8443”
    protocol=”HTTP/1.1”
    SSLEnabled=”true”
    scheme=”https”
    secure=”true”
    keystoreFile=”cert/214014471160602.pfx”
    keystoreType=”PKCS12”
    keystorePass=”證書密碼”
    clientAuth=”false”
    ciphers=”TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256”
    SSLProtocol=”TLSv1+TLSv1.1+TLSv1.2”
    SSLCipherSuite=”ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4”/>

1、證書格式轉換

在Tomcat的安裝目錄下創建cert目錄，並且將下載的全部文件拷貝到cert目錄中。如果申請證書時是自己創建的CSR文件，附件中只包含214014471160602.pem文件，還需要將私鑰文件拷貝到cert目錄，命名爲214014471160602.key；如果是系統創建的CSR，請直接到第2步。

到cert目錄下執行如下命令完成PFX格式轉換命令，此處要設置PFX證書密碼，請牢記：

openssl pkcs12 -export -out 214014471160602.pfx -inkey 214014471160602.key -in 214014471160602.pem
2、PFX證書安裝

找到安裝Tomcat目錄下該文件server.xml,一般默認路徑都是在 conf 文件夾中。找到 <Connection port=”8443” 標籤，增加如下屬性：

keystoreFile=”cert/214014471160602.pfx”
keystoreType=”PKCS12”

此處的證書密碼，請參考附件中的密碼文件或在第1步中設置的密碼

keystorePass="證書密碼"

完整的配置如下，其中port屬性根據實際情況修改：

<Connector port="8443"
protocol="HTTP/1.1"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="cert/214014471160602.pfx"
keystoreType="PKCS12"
keystorePass="證書密碼"
clientAuth="false"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4"/>


13.重啓tomcat

14.通過https訪問，大功告成。

2017年09月29日: 補充

該免費證書不支持SSLProtocol=TLSv1 . 

出現場景:安卓5.0以下版本okHttpClient發起https 請求, 出現connect closed peer 錯誤. 暫時未找到解決辦法.

 

                </div>