以下说明将引导您完成在亚马逊EC2服务器(AWS)上的SSL安装流程。若您拥有多台服务器或设备,需在每台需要保护的服务器或设备上安装证书。若您尚未生成证书并完成验证流程,请在执行以下步骤前参考我们的亚马逊EC2服务器CSR生成指南。
所需准备
1. 服务器证书
这是您从CA机构获取的域名证书,通常通过邮件发送。若未收到,可登录立海世纪会员面板进行下载。
2. 中间证书
这些文件用于连接服务器的设备识别签发CA。中间证书可能不止一份。若证书以ZIP文件形式提供,其中应包含中间证书(有时称为CA证书包)。若未包含,请下载与证书对应的CA证书包。
3. 私钥
该文件应存放于您的服务器中,若您使用免费生成工具创建了证书签名请求(CSR),则需自行保管此密钥。
安装操作步骤
1、连接至EC2实例
连接实例的操作指南请参阅亚马逊官方文档。
2. 将证书保存至EC2证书目录
导航至/etc/pki/tls/certs目录,将服务器证书和CA中间证书文件保存至此。
最简便的上传方式:在本地计算机用文本编辑器(如记事本)打开证书文件,随后在EC2实例上启动记事本,将证书内容复制粘贴至EC2记事本。此方法需root权限[sudo]。
3. 检查文件权限设置
使用以下命令验证服务器证书文件的所有者、组及权限设置是否符合Amazon Linux 2默认值(所有者=root,组=root,仅所有者可读写):
[ec2-user certs]$ sudo chown root:root custom.crt
[ec2-user certs]$ sudo chmod 600 custom.crt
[ec2-user certs]$ ls -al custom.crt
执行上述命令应显示以下结果:
-rw------- root root custom.crt
还需检查中间证书文件权限(要求较宽松),执行以下命令:
[ec2-user certs]$ sudo chown root:root intermediate.crt
[ec2-user certs]$ sudo chmod 644 intermediate.crt
[ec2-user certs]$ ls -al intermediate.crt
执行上述命令应显示以下结果:
-rw-r--r-- root root intermediate.crt
4. 将私钥放置于私钥目录
导航至私钥目录 /etc/pki/tls/private/。
若私钥尚未存放于此,请参照证书文件复制步骤将私钥保存至该目录。您可能需要在本地计算机的记事本与EC2实例上的记事本之间复制粘贴密钥内容。
再次使用以下命令检查私钥文件权限:
[ec2-user private]$ sudo chown root:root custom.key
[ec2-user private]$ sudo chmod 600 custom.key
[ec2-user private]$ ls -al custom.key
命令执行结果应为:
-rw------- root root custom.key
5. 编辑配置文件
证书配置文件应位于 /etc/httpd/conf.d/ssl.conf。
(1)在 Apache 的 SSLCertificateFile 指令中指定服务器证书路径及文件名(本例中为 custom.crt):
SSLCertificateFile /etc/pki/tls/certs/custom.crt
(2)在Apache的SSLCACertificateFile指令中提供中间CA证书的路径及文件名(本例中名为intermediate.crt):
SSLCACertificateFile /etc/pki/tls/certs/intermediate.crt
(3)在Apache的SSLCertificateKeyFile指令中提供私钥路径及文件名(本例中命名为custom.key):
SSLCertificateKeyFile /etc/pki/tls/private/custom.key
(4)将配置文件保存至/etc/httpd/conf.d/ssl.conf。
(5)使用以下命令重启Apache:
[ec2-user ~]$ sudo systemctl restart httpd
(6)通过HTTPS://协议前缀访问域名测试安装效果。若SSL安装成功,您应能通过HTTPS安全加载页面,并确认标准SSL挂锁图标可见。
恭喜!您已成功安装SSL证书!请通过浏览器访问https://yourdomain.tld查看证书/站点信息,确认HTTPS/SSL功能正常运行。请注意:部分配置变更可能需要重启服务器才能生效。
如需更全面地检查服务器配置,可使用我们的SSL检测工具,或联系客户体验部门获取进一步协助。