阿里云作为中国领先的云服务提供商,为用户提供免费的SSL证书申请服务。每个用户每年可以免费申请20张DV单域名证书,证书有效期1年。本文将详细介绍如何在阿里云申请免费SSL证书,包括申请流程、域名验证、证书下载和配置方法。
一、阿里云免费SSL证书介绍
1. 证书特点
免费额度:
- 每个用户每个自然年最多可免费申请20张证书
- 证书类型:DV域名型
- 仅支持单域名证书
- 证书有效期:1年
证书限制:
- 不支持通配符证书
- 不支持多域名证书
- 不支持自动更新
- 不支持自动部署
适用场景:
- 个人网站和博客
- 小型企业网站
- 使用阿里云服务的网站
- 只需要单域名证书的场景
2. 证书优势
- ✅ 完全免费
- ✅ 申请流程简单
- ✅ 中文界面和支持
- ✅ 与阿里云服务集成方便
二、申请前准备
1. 阿里云账号
确保您有阿里云账号,如果没有,需要先注册:
- 访问阿里云官网
- 完成账号注册和实名认证
2. 域名准备
- 确保您拥有要申请证书的域名
- 域名需要已备案(如果使用国内服务器)
- 域名DNS解析正常
三、申请免费SSL证书
1. 进入证书服务
- 登录阿里云控制台
- 在"产品与服务"中找到"SSL证书(应用安全)"
- 或直接访问:https://yundun.console.aliyun.com/?p=cas
2. 购买免费证书
- 点击"SSL证书" → "免费证书"
- 点击"立即购买"或"创建证书"
- 选择"免费型DV SSL"
- 点击"立即购买"(价格为0元)
3. 填写证书信息
证书绑定域名:
- 输入要申请证书的域名
- 例如:www.example.com 或 example.com
- 注意:www.example.com 和 example.com 是不同的域名
域名验证方式:
- 自动DNS验证(推荐)
- 手动DNS验证
- 文件验证
4. 选择验证方式
自动DNS验证(推荐):
- 如果域名DNS在阿里云解析,可以选择自动验证
- 系统自动添加DNS验证记录
- 验证完成后自动删除验证记录
手动DNS验证:
- 如果域名DNS不在阿里云解析,需要手动添加DNS记录
- 系统显示需要添加的TXT记录
- 在DNS服务商处添加TXT记录
文件验证:
- 需要在服务器上创建验证文件
- 系统显示验证文件路径和内容
- 在服务器上创建验证文件
5. 完成域名验证
自动DNS验证:
- 选择自动DNS验证
- 系统自动添加DNS记录
- 等待验证完成(通常几分钟)
手动DNS验证:
- 选择手动DNS验证
- 系统显示需要添加的TXT记录
- 在DNS服务商处添加TXT记录
- 等待DNS解析生效(通常几分钟到几小时)
- 点击"验证"按钮
文件验证:
- 选择文件验证
- 系统显示验证文件路径和内容
- 在服务器上创建验证文件
- 确保可以通过HTTP访问验证文件
- 点击"验证"按钮
6. 等待证书签发
验证通过后,系统开始签发证书:
- 通常需要几分钟到几小时
- 可以在证书列表中查看证书状态
- 证书签发成功后会收到通知
四、下载和安装证书
1. 下载证书
证书签发成功后:
- 进入"SSL证书" → "免费证书"
- 找到已签发的证书
- 点击"下载"
- 选择服务器类型(Nginx、Apache、IIS等)
- 下载证书文件
2. 证书文件说明
下载的证书包通常包含:
- 证书文件(.pem或.crt):服务器证书
- 私钥文件(.key):私钥
- 证书链文件(.chain.crt):中间CA证书链
3. 安装到服务器
Nginx配置:
server {
listen 443 ssl;
server_name example.com;
ssl_certificate /path/to/cert.pem;
ssl_certificate_key /path/to/private.key;
ssl_trusted_certificate /path/to/chain.crt;
# 其他配置...
}
Apache配置:
<VirtualHost *:443>
ServerName example.com
SSLEngine on
SSLCertificateFile /path/to/cert.pem
SSLCertificateKeyFile /path/to/private.key
SSLCertificateChainFile /path/to/chain.crt
</VirtualHost>
五、部署到阿里云服务
1. 部署到CDN
如果使用阿里云CDN:
- 进入CDN控制台
- 选择需要配置的域名
- 进入"HTTPS配置"
- 上传证书和私钥
- 启用HTTPS
2. 部署到SLB
如果使用阿里云SLB(负载均衡):
- 进入SLB控制台
- 选择需要配置的监听
- 配置HTTPS监听
- 上传证书和私钥
- 启用HTTPS
3. 部署到OSS
如果使用阿里云OSS:
- 进入OSS控制台
- 选择需要配置的Bucket
- 进入"传输管理" → "HTTPS证书"
- 上传证书和私钥
- 绑定自定义域名
六、证书更新
1. 证书到期提醒
阿里云会在证书到期前发送提醒:
- 邮件提醒
- 短信提醒(如果开通)
- 控制台提醒
2. 更新证书
证书到期前需要重新申请:
- 按照上述流程重新申请证书
- 下载新证书
- 更新到服务器
- 如果使用阿里云服务,需要重新上传证书
3. 注意事项
- 证书不支持自动更新
- 需要手动申请和部署
- 建议提前1-2周更新证书
- 确保证书在到期前更新完成
七、常见问题
1. 申请失败
可能原因:
- 域名验证失败
- DNS解析未生效
- 验证超时
解决方法:
- 检查DNS解析是否正确
- 等待DNS解析生效
- 重新提交验证
2. 证书下载失败
可能原因:
- 证书未签发成功
- 网络问题
解决方法:
- 检查证书状态
- 重新下载证书
- 检查网络连接
3. 免费额度用完
解决方法:
- 等待下一年度重置额度
- 购买付费证书
- 使用其他免费证书服务(如Let's Encrypt、OHTTPS)
八、与OHTTPS的对比
1. 功能对比
| 特性 | 阿里云免费证书 | OHTTPS |
|---|---|---|
| 免费额度 | 20张/年 | 无限制 |
| 证书类型 | 单域名 | 单域名/多域名/通配符 |
| 证书有效期 | 1年 | 90天 |
| 自动更新 | ❌ | ✅ |
| 自动部署 | ❌ | ✅ |
| 证书监控 | ❌ | ✅ |
| 通配符证书 | ❌ | ✅ 免费 |
2. 适用场景
阿里云免费证书适合:
- 使用阿里云服务的网站
- 只需要单域名证书
- 可以接受手动管理证书
OHTTPS适合:
- 需要多域名或通配符证书
- 需要自动化管理
- 需要自动部署和监控
- 需要无限制的免费证书
九、最佳实践
1. 证书管理
- 记录证书到期时间
- 设置提醒,提前更新证书
- 妥善保管私钥文件
- 定期检查证书状态
2. 安全建议
- 使用强密码保护私钥
- 设置适当的文件权限
- 定期备份证书和私钥
- 不要将私钥上传到公开位置
3. 性能优化
- 使用HTTP/2协议
- 启用OCSP Stapling
- 配置合适的SSL协议版本
- 使用强加密套件
总结
阿里云免费SSL证书是一个不错的选择,特别是对于使用阿里云服务的用户。它提供了每年20张免费单域名证书,申请流程简单,中文支持完善。
但是,如果您需要多域名或通配符证书,或者需要自动化管理功能,建议使用OHTTPS平台。OHTTPS提供了无限制的免费证书(包括通配符证书),以及自动更新、自动部署和证书监控等完整功能,让SSL证书管理更加简单高效。
OHTTPS: 免费HTTPS证书/SSL证书申请 • 自动化更新、部署、监控
OHTTPS 支持通过多种域名验证方式(DNS验证、HTTP验证、文件验证等)申请免费的HTTPS证书/SSL证书,包括单域名证书、多域名证书、通配符证书、IP证书等,支持HTTPS证书/SSL证书的自动化更新、自动化部署、自动化监控及告警等,并支持将HTTPS证书/SSL证书自动化部署至阿里云、腾讯云、群晖NAS、百度云、七牛云、多吉云、又拍云、宝塔面板、Docker容器、SSH等,实现HTTPS证书/SSL证书的一站式申请、更新、部署、监控和管理。