阿里云CentOS怎么样申请免费SSL证书并配置HTTPS？

在当今的互联网环境中,为网站启用HTTPS已成为一项基本要求，它不仅能够加密用户与服务器之间的数据传输，保护用户隐私，还能提升网站的信誉度，并对搜索引擎排名产生积极影响，对于在阿里云上使用CentOS系统的用户而言，配置HTTPS是一个常规但重要的操作，本文将详细介绍如何在阿里云ECS实例（CentOS系统）上为网站部署HTTPS。

准备工作

在开始之前,请确保您已具备以下条件：

• 一台阿里云ECS实例,操作系统为CentOS 7或更高版本。
• 一个已注册并解析到该ECS实例公网IP的域名。
• 在服务器上已安装Web服务器,本文以Nginx为例。
• 拥有服务器的root权限或sudo权限。

获取SSL证书

SSL证书是启用HTTPS的核心,您有多种选择，以下是两种主流方案：

使用阿里云免费DV SSL证书

阿里云为个人用户和中小企业提供了免费的DV（域名型）SSL证书，非常适合入门使用。

1. 登录阿里云控制台,在“产品”中找到“SSL证书（应用安全）”。
2. 点击“立即购买”，选择“DV单域名证书（免费版）”，完成购买流程。
3. 在证书管理页面,找到已购买的证书，点击“证书申请”。
4. 填写域名信息,并选择验证方式，DNS验证是最常用的方式，您需要根据提示在您的域名解析服务商处添加一条TXT记录来完成域名所有权验证。
5. 验证通过后,证书状态会变为“已签发”，此时可以下载证书，并选择服务器类型为“Nginx”。

使用Let’s Encrypt免费证书

Let’s Encrypt是一个免费、自动化、开放的证书颁发机构，我们可以使用Certbot工具来简化申请和续期过程。

1. 安装Certbot：sudo yum install certbot python3-certbot-nginx
2. 自动申请并配置证书：sudo certbot --nginx
   Certbot会自动检测Nginx配置中的域名，并引导您完成证书申请，成功后，它会自动修改Nginx配置文件以启用HTTPS。

配置Nginx以支持HTTPS

假设您选择了方案一,已经从阿里云下载了证书文件（通常是一个.pem文件和一个.key文件）。

1. 在服务器上为证书创建一个目录,sudo mkdir /etc/nginx/ssl
2. 将下载的证书文件上传到此目录。
3. 编辑您的Nginx站点配置文件（通常位于/etc/nginx/conf.d/目录下）。

server {
    listen 80;
    server_name yourdomain.com www.yourdomain.com;
    # 将所有HTTP请求重定向到HTTPS
    return 301 https://$host$request_uri;
}
server {
    listen 443 ssl http2;
    server_name yourdomain.com www.yourdomain.com;
    ssl_certificate /etc/nginx/ssl/yourdomain.pem;
    ssl_certificate_key /etc/nginx/ssl/yourdomain.key;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;
    root /usr/share/nginx/html;
    index index.html index.htm;
}

保存并退出后,使用 sudo nginx -t 检查配置语法是否正确，然后使用 sudo systemctl restart nginx 重启Nginx服务。

开放防火墙端口

确保服务器的防火墙允许HTTPS流量（443端口）通过。

sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --reload

在浏览器中访问 https://yourdomain.com，您应该能看到一个安全锁标志，表示HTTPS已成功配置。

为了方便理解,以下是不同类型证书的对比：

证书类型	验证级别	适用场景	价格
DV (域名型)	仅验证域名所有权	个人博客、小型网站	免费（如Let’s Encrypt、阿里云免费版）
OV (企业型)	验证域名所有权及企业真实性	企业官网、电商平台	付费
EV (增强型)	最严格验证，地址栏显示公司名称	金融机构、大型企业官网	高价

---

相关问答FAQs

Q1: Let’s Encrypt证书有效期只有90天，频繁手动续期是不是很麻烦？
A: 确实，Let’s Encrypt证书的有效期较短，但其设计初衷就是通过自动化工具来解决续期问题，Certbot工具在安装时会自动设置一个 cron 或 systemd timer 定时任务，每天检查证书并在即将过期时自动续期，在正确安装和配置后，您几乎无需关心续期问题，整个过程是完全自动化的，非常方便。

Q2: 配置HTTPS后，我的网站访问速度会变慢吗？
A: 在初次建立连接时，HTTPS因为需要进行TLS握手，会比HTTP多消耗一些时间，可能会产生微小的延迟，这种影响在现代网络环境下几乎可以忽略不计，更重要的是，启用HTTPS后，您可以使用HTTP/2协议，HTTP/2通过多路复用、头部压缩等技术能显著提升页面加载速度，其带来的性能提升远超TLS握手带来的微小延迟，从长远来看，正确配置的HTTPS网站反而可能比HTTP网站更快。