观看视频教程

SSL It! 扩展会提供一个界面,通过该界面,可使用由可信的证书机构 (CA) Let’s Encrypt 和 DigiCert(Symantec、GeoTrust 和 RapidSSL 品牌)签发的 SSL/TLS 证书或任何其它所选的 SSL/TLS 证书保护网站的安全。还可以:

  • 通过从 HTTP 重定向到 HTTPS 增强网站访客的安全度。
  • 通过禁止 web 浏览器访问使用 HTTP 不安全连接的网站来保护网站访客。
  • 使用 OCSP 装订保护网站访客的隐私并提高网站性能。
  • 让使用 SSL/TLS 证书加密的连接在使用 Mozilla 生成的协议和密码时更安全。

开始使用 SSL It!

  1. SSL It! 扩展默认已安装。
  2. 若要利用所有的 SSL It! 功能,请确保还安装了最新版的 DigiCert SSL 和 Let’s Encrypt 扩展。

若要管理域名的 SSL/TLS 证书,请转到 网站与域名 > 您的域名。您可以看到域名在 SSL/TLS 证书下当前的安全状态:

image-status.png

使用 SSL/TLS 证书保护网站的安全

通过 SSL It! 扩展,您可以使用免费的和付费的 SSL/TLS 证书(目前只能使用 DigiCert 的证书)以及您已有的 SSL/TLS 证书保护网站的安全。

若要使用 Let’s Encrypt 免费的 SSL/TLS 证书保护网站的安全,请如下操作:

  1. 转到 网站与域名 > 您的域名 > SSL/TLS 证书
  2. 点击 免费获取(”入门级别保护)”。
  3. 指定将用于紧急通知和丢失密钥恢复的电子邮件地址。
  4. 选择除了主域名之外还需保护的域名:
    • 如果您有 www 子域名和/或域名别名,可选择 “包括域名的 “www” 子域名和每个选定的别名” 复选框。
    • 如果您使用 web 邮箱,可选择 “保护此域名的 web 邮箱的安全” 复选框。
    • 如果您有所有上述域名外加其它域名,可选择 “保护通配符域名(包括 www 和 web 邮箱)的安全” 按钮。
  5. 点击 免费获取

将会签发一个 Let’s Encrypt 的 SSL/TLS 证书并自动安装。

注解: 如果您使用 Let’s Encrypt 的 SSL/TLS 证书保护域名的安全然后向订阅添加新的域名、子域名、域名别名或 web 邮箱,可重新签发 Let’s Encrypt 的 SSL/TLS 证书以自动使用 SSL It! 保护它们的安全。具体操作是,转到 网站与域名 > 您的域名 > SSL/TLS 证书 启用 “保护网站的安全” 选项。

若要获取付费的 SSL/TLS 证书,请如下操作:

  1. 转到 网站与域名 > 您的域名 > SSL/TLS 证书

  2. 找到您要购买的 SSL/TLS 证书。若要了解有关证书的信息(有效期、验证类型,等等),请点击“显示详情”。选择好后,点击 即刻购买。然后自动将您重定向到 Plesk 在线商店。

  3. 填写您的地址、支付信息,然后购买证书。

  4. 返回到 Plesk(使用浏览器中的 返回 按钮)。

  5. 付款处理需要一些时间。若要更新支付状态,请点击 重新加载。Plesk 将自动每小时更新支付状态一次。

    image-waiting-payment.png

  6. 付款处理后,点击 填写必填数据

    image-payment-received.png

  7. 填写必填联系信息然后点击 确定

  8. Plesk 现在即自动创建证书签名请求 (CSR) 然后接收和安装 SSL/TLS 证书。根据不同类型的 SSL/TLS 证书,可能需要一定时间。您可以点击 重新加载 手动更新 SSL/TLS 证书状态或等候 Plesk 自动将其更新(Plesk 会每小时检查 SSL/TLS 证书状态一次)。

注解: 某些类型的 SSL/TLS 证书(例如 EV)需要您额外执行一些操作。您可能需要接听电话或回复电子邮件,同时还需提交必要的文件,这样 CA 才可以验证您的应用程序。

SSL/TLS 证书安装好后,网站与域名 > 您的域名 > SSL/TLS 证书 屏幕将会显示有关已安装的 SSL/TLS 证书(名称、证书机构、电子邮件地址,等等)、已安全保护的组件和其它选项(”从 http 重定向到 https”、”HSTS”,等等)的信息。

上传 SSL/TLS 证书

以下几种情况,您可能想要上传 SSL/TLS 证书:

  • 您已经有一个证书,想要用来保护域名的安全。
  • 您想要安装无法通过 SSL It! 获取的证书。

若要上传 SSL/TLS 证书,请如下操作:

  1. 转到 网站与域名 > 您的域名 > SSL/TLS 证书 然后点击 上传

    image-upload.png

  2. 找到您要上传的 SSL/TLS 证书的 .pem 文件然后点击 打开

SSL/TLS 证书将自动在域名上安装。

续订更新已安装的 SSL/TLS 证书

为了您的网站能够得到持续有效的安全保护,您需要按时续订更新已安装的 SSL/TLS 证书。SSL It! 扩展会帮助您实现此目的。

SSL It! 会在证书到期前 30 天自动续订更新 Let’s Encrypt 和 DigiCert 免费的 SSL/TLS 证书。

image-renew.png

SSL It! 无法自动续订更新付费的 SSL/TLS 证书,但是您可以:

  • 手动重新签发这些证书。
  • 让 SSL It! 使用 Let’s Encrypt 免费的证书自动替换已到期的 SSL/TLS 证书。

若要重新签发付费的 SSL/TLS 证书,请如下操作:

  1. 转到 网站与域名 > 使用快要到期的付费 SSL/TLS 证书保护安全的域名 > SSL/TLS 证书

  2. 点击 重新签发证书。然后会自动将您重定向到 Plesk 在线商店。

  3. 填写您的地址、支付信息,然后购买证书。

  4. 返回到 Plesk(使用浏览器中的 返回 按钮)。

  5. 付款处理需要一些时间。若要更新支付状态,请点击 重新加载。Plesk 将自动每小时更新支付状态一次。

    image-waiting-payment.png

  6. 付款处理后,点击 填写必填数据

    image-payment-received.png

  7. 填写必填联系信息然后点击 确定

  8. Plesk 现在即自动创建证书签名请求 (CSR) 然后接收和安装 SSL/TLS 证书。根据不同类型的 SSL/TLS 证书,可能需要一定时间。您可以点击 重新加载 手动更新 SSL/TLS 证书状态或等候 Plesk 自动将其更新(Plesk 会每小时检查 SSL/TLS 证书状态一次)。

若要使用 Let’s Encrypt 免费的证书自动替换已到期的付费 SSL/TLS 证书,请如下操作:

  1. 转到 网站与域名 > 使用快要到期的付费 SSL/TLS 证书保护安全的域名 > SSL/TLS 证书
  2. 开启 “保护网站的安全”。

现在,当您的付费 SSL/TLS 证书到期时,SSL It! 会自动签发一个 Let’s Encrypt 的免费 SSL/TLS 证书保护属于订阅的域名、子域名、域名别名和 web 邮箱的安全。在 SSL/TLS 证书到期后不到一个小时自动实现。

取消分配 SSL/TLS 证书

  1. 转到 网站与域名 > 您想要取消分配 SSL/TLS 证书的域名 > SSL/TLS 证书
  2. 点击 取消分配证书 然后点击 确定

增强网站和已加密服务器连接的安全性

仅仅使用来自可信 CA 的有效 SSL 证书保护网站的安全不足以获得全面的保护。SSL 是一种复杂的技术,有很多功能(密钥加密算法、安全密码、HSTS,等等),这些功能可以:

  • 增强网站访客的安全性。
  • 提高网站性能。
  • 强化所有服务器加密连接的安全性

启用这些功能可以提高网站的搜索引擎排名:

  • “从 http 重定向到 https” 会设置永久的、SEO 安全 301 重定向,将网站和 web 邮箱从不安全的 HTTP 版永久重定向到安全的 HTTPS 版。
  • HSTS 会禁止 web 浏览器通过不安全的 HTTP 连接访问网站。
  • OSCP 会令 web 服务器从 CA 而不是访客的浏览器请求网站证书的状态(可以是良好、撤销或未知)。
  • Mozilla 提供的 TLS 版本和密码强化了 SSL/TLS 证书保护的连接(网站、邮件、Plesk,等等)。

警告: 在开启这些功能前,请确保您的网站可以通过 HTTPS 进行访问。否则,访客在访问您的网站时会遇到麻烦。

注解: 如果您已手动在您的 web 服务器中设置了 HSTS 或 OCSP 装订,请在 SSL It!.中打开 HSTS or OCSP 装订之前删除这些自定义设置。

若要增强网站和已加密服务器连接的安全性,请如下操作:

  1. 使用可信 CA 的有效 SSL/TLS 证书保护网站的安全。

  2. 转到 网站与域名 > 您的域名 > SSL/TLS 证书

  3. 如果您已从 Plesk 早期版本升级到 Plesk Obsidian,请打开 “从 http 重定向到 https”。默认此重定向也将会应用于 web 邮箱。在 Plesk Obsidian 干净的安装实例上,默认已为域名和 web 邮箱打开重定向。

    注解: 如果您的 web 邮箱尚未使用有效的 SSL/TLS 证书保护或您还没有任何 web 邮箱,请清空 “包括 web 邮箱” 复选框。

  4. 启用 HSTS:

    1. 打开 HSTS。

    2. 确保保护您网站的 SSL/TLS 证书在 “Max-age” 期限内有效。对子域名和 web 邮箱子域名进行相同操作。否则,如果 SSL/TLS 证书早于 “Max-age” 期限到期而 HSTS 被开启,访客将无法访问您的网站。

    3. 如果您的子域名未使用有效的 SSL/TLS 证书进行安全保护或者您没有任何子域名,请清空 “包括子域名” 复选框。

    4. 如果您的 web 邮箱子域名尚未使用有效的 SSL/TLS 证书保护或您还没有任何 web 邮箱,请清空 “包括 web 邮箱” 复选框。

    5. 点击 启用 HSTS

      注解: 如果您的 SSL/TLS 证书早于 “Max-age” 期限到期但是您仍想要使用 HSTS,我们建议您启用 “保护网站的安全”。然后当 SSL/TLS 证书到期时,SSL It! 将自动签发 Let’s Encrypt 的免费证书用来保护属于订阅的域名、子域名、域名别名和 web 邮箱。网站将持续得到安全保护且 HSTS 将继续工作运行。

  5. 打开 “OCSP 装订”。

  6. 若要启用 Mozilla 提供的 TLS 版本和密码,请如下操作:

    1. 转到 扩展 > “我的扩展标签” > 点击 SSL It! 旁的 打开
    2. 打开 “Mozilla 提供的 TLS 版本和密码”,保留 “中级(推荐)”,然后点击 启用并同步
    3. 若要保持当前状态,请每隔几个月点击 “即刻同步” 一次。

一旦强化了网站和服务器的 SSL 安全性,即可评估网站的 SSL 安全性。

已知问题和局限性

  • OCSP 装订只适用于由 nginx 和 Apache 服务或 nginx 单独服务的网站。如果您的网站只由 Apache 服务,则不需要开启 “OCSP 装订”。
  • 如果完整的信任链未就位,OCSP 装订可能无法用于某些供应商的 SSL/TLS 证书(例如 DigiCert 的免费证书)。若要检查您的证书是否支持 OCSP 装订,请在您的 SSL 配置上运行 SSL Labs 测试。
  • 目前还不支持自动同步 Mozilla 提供的 TLS 版本和密码。

评估网站的 SSL 的安全性

流行的搜索引擎(例如 Google)会给有更好 SSL 保护的网站更高排名。在 SSL It! 扩展中,您可以运行最流行的测试服务,Qualys SSL Labs,以实现:

  • 检查您网站的 SSL 保护有多好。
  • 查看哪些可以提升。
  • 获得 A+,最高评分(必要时强化 SSL 保护后)。

若要评估网站的 SSL 的安全性,请如下操作:

  1. 转到 网站与域名 > 您的域名 > SSL/TLS 证书
  2. 点击 “运行 SSL Labs 测试”。

将在新的标签中打开 Qualys SSL Labs 网站,然后自动开始测试。等测试结束后即可获得您的评分。这可能需要几分钟的时间。

如果您使用可信 CA 的有效 SSL/TLS 证书保护网站的安全,且打开了 SSL It! 提供的所有安全增强功能,最有可能得到 A+ 的评分。

自定义 SSL It! 提供的 SSL/TLS 证书列表

默认情况下,当您想要使用 SSL/TLS 证书保护域名且要转到 SSL It! 时,您会看到来自不同 CA 的四个 SSL/TLS 证书可供安装。但还有更多。

SSL It! has a list of SSL/TLS certificates available for installation. You can choose which of them will be visible in the SSL It! interface for you, your customers, and resellers. You can do so in the SSL It! interface or via the CLI.

(Via the SSL It! interface) To customize the list of SSL/TLS certificates available for installation in SSL It!:

  1. 转到 扩展 > “我的扩展标签” > 点击 SSL It! 旁的 打开
  2. Next to “SSL/TLS Certificates”, click “Configure”.
  3. Select the desired SSL/TLS certificates and then click Save.

You, your customers, and resellers will now see only the selected certificates in the SSL It! interface.

(Via the CLI) To customize the list of SSL/TLS certificates available for installation in SSL It!:

  1. 通过 SSH 连接 Plesk 服务器并运行以下命令获取可用 SSL/TLS 证书的完整列表:

    plesk ext sslit --product -list
    
  2. Copy the vendor and the product IDs of the SSL/TLS certificate that you want to add to the list or remove from it.

    image-product-list.png

  3. To customize the list of SSL/TLS certificates, use the CLI commands of the following patterns:

    • To add an SSL/TLS certificate to the list:

      plesk ext sslit --product -add -vendor <vendor-ID> -product <product-ID>
      
    • To remove an SSL/TLS certificate from the list:

      plesk ext sslit --product -remove -vendor <vendor-ID> -product <product-ID>
      
    • To reset the list of SSL/TLS certificates to defaults:

      plesk ext sslit --product -reset-to-defaults
      

    For example, if you want to add the ssl-web-server-ev certificate from Thawte to the list, run the following command:

    plesk ext sslit --product -add -vendor symantec.thawte -product ssl-web-server-ev
    
  4. Repeat the commands described above multiple times until you get the desired list of available SSL/TLS certificates.

注解: 如果您是 SSL/TLS 证书的供应商,且想要整合证书并在 SSL It! 中出售,请通过电子邮件联系我们:extension@plesk.com。我们将告诉您如何开始编写自己的扩展来整合 SSL/TLS 证书,并指导您操作直到证书可以在 SSL It!.中购买。