观看视频教程

SSL It! 扩展会提供一个界面,通过该界面,可使用由可信的证书机构 (CA) Let’s Encrypt 和 DigiCert(Symantec、GeoTrust 和 RapidSSL 品牌)签发的 SSL/TLS 证书或任何其它所选的 SSL/TLS 证书保护网站的安全。还可以:

  • 通过从 HTTP 重定向到 HTTPS 增强网站访客的安全度。
  • 通过禁止 web 浏览器访问使用 HTTP 不安全连接的网站来保护网站访客。
  • 使用 OCSP 装订保护网站访客的隐私并提高网站性能。

开始使用 SSL It!

若要管理域名的 SSL/TLS 证书,请转到 网站与域名 > 您的域名。您可以看到域名在 SSL/TLS 证书下当前的安全状态:

image status

使用 SSL/TLS 证书保护网站的安全

通过 SSL It! 扩展,您可以使用免费的和付费的 SSL/TLS 证书(目前只能使用 DigiCert 的证书)以及您已有的 SSL/TLS 证书保护网站的安全。

若要使用 Let’s Encrypt 免费的 SSL/TLS 证书保护网站的安全,请如下操作:

  1. 转到 网站与域名 > 您的域名 > SSL/TLS 证书
  2. 点击 免费获取(”入门级别保护)”。
  3. 指定将用于紧急通知和丢失密钥恢复的电子邮件地址。
  4. 选择除了主域名之外还需保护的域名:
    • 如果您有 www 子域名和/或域名别名,可选择 “包括域名的 “www” 子域名和每个选定的别名” 复选框。
    • 如果您使用 web 邮箱,可选择 “保护此域名的 web 邮箱的安全” 复选框。
    • 如果您有所有上述域名外加其它域名,可选择 “保护通配符域名(包括 www 和 web 邮箱)的安全” 按钮。
  5. 点击 免费获取

将会签发一个 Let’s Encrypt 的 SSL/TLS 证书并自动安装。

注解: 如果您使用 Let’s Encrypt 的 SSL/TLS 证书保护域名的安全然后向订阅添加新的域名、子域名、域名别名或 web 邮箱,可重新签发 Let’s Encrypt 的 SSL/TLS 证书以自动使用 SSL It! 保护它们的安全。具体操作是,转到 网站与域名 > 您的域名 > SSL/TLS 证书 启用 “保护网站的安全” 选项。

若要获取付费的 SSL/TLS 证书,请如下操作:

  1. 转到 网站与域名 > 您的域名 > SSL/TLS 证书

  2. 找到您要购买的 SSL/TLS 证书。若要了解有关证书的信息(有效期、验证类型,等等),请点击“显示详情”。选择好后,点击 即刻购买。然后自动将您重定向到 Plesk 在线商店。

  3. 填写您的地址、支付信息,然后购买证书。

  4. 返回到 Plesk(使用浏览器中的 返回 按钮)。

  5. 付款处理需要一些时间。若要更新支付状态,请点击 重新加载。Plesk 将自动每小时更新支付状态一次。

    image waiting payment

  6. 付款处理后,点击 填写必填数据

    image payment received

  7. 填写必填联系信息然后点击 确定

  8. Plesk 现在即自动创建证书签名请求 (CSR) 然后接收和安装 SSL/TLS 证书。根据不同类型的 SSL/TLS 证书,可能需要一定时间。您可以点击 重新加载 手动更新 SSL/TLS 证书状态或等候 Plesk 自动将其更新(Plesk 会每小时检查 SSL/TLS 证书状态一次)。

注解: 某些类型的 SSL/TLS 证书(例如 EV)需要您额外执行一些操作。您可能需要接听电话或回复电子邮件,同时还需提交必要的文件,这样 CA 才可以验证您的应用程序。

SSL/TLS 证书安装好后,网站与域名 > 您的域名 > SSL/TLS 证书 屏幕将会显示有关已安装的 SSL/TLS 证书(名称、证书机构、电子邮件地址,等等)、已安全保护的组件和其它选项(”从 http 重定向到 https”、”HSTS”,等等)的信息。

上传 SSL/TLS 证书

以下几种情况,您可能想要上传 SSL/TLS 证书:

  • 您已经有一个证书,想要用来保护域名的安全。
  • 您想要安装无法通过 SSL It! 获取的证书。

若要上传 SSL/TLS 证书,请如下操作:

  1. 转到 网站与域名 > 您的域名 > SSL/TLS 证书 然后点击 上传

    image upload

  2. 找到您要上传的 SSL/TLS 证书的 .pem 文件然后点击 打开

SSL/TLS 证书将自动在域名上安装。

续订更新已安装的 SSL/TLS 证书

为了您的网站能够得到持续有效的安全保护,您需要按时续订更新已安装的 SSL/TLS 证书。SSL It! 扩展会帮助您实现此目的。

SSL It! 会在证书到期前 30 天自动续订更新 Let’s Encrypt 和 DigiCert 免费的 SSL/TLS 证书。

image renew

SSL It! 无法自动续订更新付费的 SSL/TLS 证书,但是您可以:

  • 手动重新签发这些证书。
  • 让 SSL It! 使用 Let’s Encrypt 免费的证书自动替换已到期的 SSL/TLS 证书。

若要重新签发付费的 SSL/TLS 证书,请如下操作:

  1. 转到 网站与域名 > 使用快要到期的付费 SSL/TLS 证书保护安全的域名 > SSL/TLS 证书

  2. 点击 重新签发证书。然后会自动将您重定向到 Plesk 在线商店。

  3. 填写您的地址、支付信息,然后购买证书。

  4. 返回到 Plesk(使用浏览器中的 返回 按钮)。

  5. 付款处理需要一些时间。若要更新支付状态,请点击 重新加载。Plesk 将自动每小时更新支付状态一次。

    image waiting payment

  6. 付款处理后,点击 填写必填数据

    image payment received

  7. 填写必填联系信息然后点击 确定

  8. Plesk 现在即自动创建证书签名请求 (CSR) 然后接收和安装 SSL/TLS 证书。根据不同类型的 SSL/TLS 证书,可能需要一定时间。您可以点击 重新加载 手动更新 SSL/TLS 证书状态或等候 Plesk 自动将其更新(Plesk 会每小时检查 SSL/TLS 证书状态一次)。

若要使用 Let’s Encrypt 免费的证书自动替换已到期的付费 SSL/TLS 证书,请如下操作:

  1. 转到 网站与域名 > 使用快要到期的付费 SSL/TLS 证书保护安全的域名 > SSL/TLS 证书
  2. 开启 “保护网站的安全”。

现在,当您的付费 SSL/TLS 证书到期时,SSL It! 会自动签发一个 Let’s Encrypt 的免费 SSL/TLS 证书保护属于订阅的域名、子域名、域名别名和 web 邮箱的安全。在 SSL/TLS 证书到期后不到一个小时自动实现。

取消分配 SSL/TLS 证书

  1. 转到 网站与域名 > 您想要取消分配 SSL/TLS 证书的域名 > SSL/TLS 证书
  2. 点击 取消分配证书 然后点击 确定

增强网站的安全性

只是使用来自可信 CA 的有效 SSL/TLS 证书保护网站的安全无法做到全方位的保护。SSL 是一项复杂的技术,有多个功能(密钥加密算法、OSCP 装订、HSTS 等更多),通过这些功能可以增强网站访客的安全度并提高网站的性能。

启用这些功能可以提高网站的搜索引擎排名:

  • “从 http 重定向到 https” 会设置永久的、SEO 安全 301 重定向,将网站和 web 邮箱从不安全的 HTTP 版永久重定向到安全的 HTTPS 版。
  • HSTS 会禁止 web 浏览器通过不安全的 HTTP 连接访问网站。
  • OSCP 会令 web 服务器从 CA 而不是访客的浏览器请求网站证书的状态(可以是良好、撤销或未知)。

警告: 在开启这些功能前,请确保您的网站可以通过 HTTPS 进行访问。否则,访客在访问您的网站时会遇到麻烦。

若要增强网站的安全性,请如下操作:

  1. 使用可信 CA 的有效 SSL/TLS 证书保护网站的安全。

  2. 转到 网站与域名 > 您的域名 > SSL/TLS 证书

  3. 启用 “从 http 重定向到 https”(若尚未启用)。”从 http 重定向到 https” 将同时应用到网站和 web 邮箱。

    注解: 如果您的 web 邮箱尚未使用有效的 SSL/TLS 证书保护或您还没有任何 web 邮箱,请清空 “包括 web 邮箱” 复选框。

  4. 启用 HSTS:

    1. 打开 HSTS。

    2. 确保保护您网站的 SSL/TLS 证书在 “Max-age” 期限内有效。对子域名和 web 邮箱子域名进行相同操作。否则,如果 SSL/TLS 证书早于 “Max-age” 期限到期而 HSTS 被开启,访客将无法访问您的网站。

    3. 如果您的子域名未使用有效的 SSL/TLS 证书进行安全保护或者您没有任何子域名,请清空 “包括子域名” 复选框。

    4. 如果您的 web 邮箱子域名尚未使用有效的 SSL/TLS 证书保护或您还没有任何 web 邮箱,请清空 “包括 web 邮箱” 复选框。

    5. 点击 启用 HSTS

      注解: 如果您的 SSL/TLS 证书早于 “Max-age” 期限到期但是您仍想要使用 HSTS,我们建议您启用 “保护网站的安全”。然后当 SSL/TLS 证书到期时,SSL It! 将自动签发 Let’s Encrypt 的免费证书用来保护属于订阅的域名、子域名、域名别名和 web 邮箱。网站将持续得到安全保护且 HSTS 将继续工作运行。

  5. 打开 “OCSP 装订”。

强化了网站的 SSL 的安全性后,则可以对其进行评估。

已知问题和局限性

  • OCSP 装订只适用于由 nginx 和 Apache 服务或 nginx 单独服务的网站。如果您的网站只由 Apache 服务,则不需要开启 “OCSP 装订”。
  • 如果完整的信任链未就位,OCSP 装订可能无法用于某些供应商的 SSL/TLS 证书(例如 DigiCert 的免费证书)。若要检查您的证书是否支持 OCSP 装订,请在您的 SSL 配置上运行 SSL Labs 测试。

评估网站的 SSL 的安全性

流行的搜索引擎(例如 Google)会给有更好 SSL 保护的网站更高排名。在 SSL It! 扩展中,您可以运行最流行的测试服务,Qualys SSL Labs,以实现:

  • 检查您网站的 SSL 保护有多好。
  • 查看哪些可以提升。
  • 获得 A+,最高评分(必要时强化 SSL 保护后)。

若要评估网站的 SSL 的安全性,请如下操作:

  1. 转到 网站与域名 > 您的域名 > SSL/TLS 证书
  2. 点击 “运行 SSL Labs 测试”。

将在新的标签中打开 Qualys SSL Labs 网站,然后自动开始测试。等测试结束后即可获得您的评分。这可能需要几分钟的时间。

如果您使用可信 CA 的有效 SSL/TLS 证书保护网站的安全,且打开了 SSL It! 提供的所有安全增强功能,最有可能得到 A+ 的评分。