使用 SSL It! 扩展保护连接的安全
观看视频教程
SSL It! 扩展会提供一个界面,通过该界面,可使用由可信的证书机构 (CA) Let’s Encrypt 和 DigiCert(Symantec、GeoTrust 和 RapidSSL 品牌)签发的 SSL/TLS 证书或任何其它所选的 SSL/TLS 证书保护网站的安全。还可以:
- 通过从 HTTP 重定向到 HTTPS 增强网站访客的安全度。
- 通过禁止 web 浏览器访问使用 HTTP 不安全连接的网站来保护网站访客。
- 使用 OCSP 装订保护网站访客的隐私并提高网站性能。
开始使用 SSL It!
若要管理域名的 SSL/TLS 证书,请转到 网站与域名 > 您的域名。您可以看到域名在 SSL/TLS 证书下当前的安全状态:
使用 SSL/TLS 证书保护网站的安全
通过 SSL It! 扩展,您可以使用免费的和付费的 SSL/TLS 证书(目前只能使用 DigiCert 的证书)以及您已有的 SSL/TLS 证书保护网站的安全。
若要使用 Let’s Encrypt 免费的 SSL/TLS 证书保护网站的安全,请如下操作:
- 转到 网站与域名 > 您的域名 > SSL/TLS 证书。
- 点击 免费获取(”入门级别保护)”。
- 指定将用于紧急通知和丢失密钥恢复的电子邮件地址。
- 选择除了主域名之外还需保护的域名:
- 如果您有 www 子域名和/或域名别名,可选择 “包括域名的 “www” 子域名和每个选定的别名” 复选框。
- 如果您使用 web 邮箱,可选择 “保护此域名的 web 邮箱的安全” 复选框。
- 如果您有所有上述域名外加其它域名,可选择 “保护通配符域名(包括 www 和 web 邮箱)的安全” 按钮。
- 点击 免费获取。
将会签发一个 Let’s Encrypt 的 SSL/TLS 证书并自动安装。
注解: 如果您使用 Let’s Encrypt 的 SSL/TLS 证书保护域名的安全然后向订阅添加新的域名、子域名、域名别名或 web 邮箱,可重新签发 Let’s Encrypt 的 SSL/TLS 证书以自动使用 SSL It! 保护它们的安全。具体操作是,转到 网站与域名 > 您的域名 > SSL/TLS 证书 启用 “保护网站的安全” 选项。
若要获取付费的 SSL/TLS 证书,请如下操作:
-
转到 网站与域名 > 您的域名 > SSL/TLS 证书。
-
找到您要购买的 SSL/TLS 证书。若要了解有关证书的信息(有效期、验证类型,等等),请点击“显示详情”。选择好后,点击 即刻购买。然后自动将您重定向到 Plesk 在线商店。
-
填写您的地址、支付信息,然后购买证书。
-
返回到 Plesk(使用浏览器中的 返回 按钮)。
-
付款处理需要一些时间。若要更新支付状态,请点击 重新加载。Plesk 将自动每小时更新支付状态一次。
-
付款处理后,点击 填写必填数据。
-
填写必填联系信息然后点击 确定。
-
Plesk 现在即自动创建证书签名请求 (CSR) 然后接收和安装 SSL/TLS 证书。根据不同类型的 SSL/TLS 证书,可能需要一定时间。您可以点击 重新加载 手动更新 SSL/TLS 证书状态或等候 Plesk 自动将其更新(Plesk 会每小时检查 SSL/TLS 证书状态一次)。
注解: 某些类型的 SSL/TLS 证书(例如 EV)需要您额外执行一些操作。您可能需要接听电话或回复电子邮件,同时还需提交必要的文件,这样 CA 才可以验证您的应用程序。
SSL/TLS 证书安装好后,网站与域名 > 您的域名 > SSL/TLS 证书 屏幕将会显示有关已安装的 SSL/TLS 证书(名称、证书机构、电子邮件地址,等等)、已安全保护的组件和其它选项(”从 http 重定向到 https”、”HSTS”,等等)的信息。
上传 SSL/TLS 证书
以下几种情况,您可能想要上传 SSL/TLS 证书:
- 您已经有一个证书,想要用来保护域名的安全。
- 您想要安装无法通过 SSL It! 获取的证书。
若要上传 SSL/TLS 证书,请如下操作:
-
转到 网站与域名 > 您的域名 > SSL/TLS 证书 然后点击 上传。
-
找到您要上传的 SSL/TLS 证书的
.pem
文件然后点击 打开。
SSL/TLS 证书将自动在域名上安装。
续订更新已安装的 SSL/TLS 证书
为了您的网站能够得到持续有效的安全保护,您需要按时续订更新已安装的 SSL/TLS 证书。SSL It! 扩展会帮助您实现此目的。
SSL It! 会在证书到期前 30 天自动续订更新 Let’s Encrypt 和 DigiCert 免费的 SSL/TLS 证书。
SSL It! 无法自动续订更新付费的 SSL/TLS 证书,但是您可以:
- 手动重新签发这些证书。
- 让 SSL It! 使用 Let’s Encrypt 免费的证书自动替换已到期的 SSL/TLS 证书。
若要重新签发付费的 SSL/TLS 证书,请如下操作:
-
转到 网站与域名 > 使用快要到期的付费 SSL/TLS 证书保护安全的域名 > SSL/TLS 证书。
-
点击 重新签发证书。然后会自动将您重定向到 Plesk 在线商店。
-
填写您的地址、支付信息,然后购买证书。
-
返回到 Plesk(使用浏览器中的 返回 按钮)。
-
付款处理需要一些时间。若要更新支付状态,请点击 重新加载。Plesk 将自动每小时更新支付状态一次。
-
付款处理后,点击 填写必填数据。
-
填写必填联系信息然后点击 确定。
-
Plesk 现在即自动创建证书签名请求 (CSR) 然后接收和安装 SSL/TLS 证书。根据不同类型的 SSL/TLS 证书,可能需要一定时间。您可以点击 重新加载 手动更新 SSL/TLS 证书状态或等候 Plesk 自动将其更新(Plesk 会每小时检查 SSL/TLS 证书状态一次)。
若要使用 Let’s Encrypt 免费的证书自动替换已到期的付费 SSL/TLS 证书,请如下操作:
- 转到 网站与域名 > 使用快要到期的付费 SSL/TLS 证书保护安全的域名 > SSL/TLS 证书。
- 开启 “保护网站的安全”。
现在,当您的付费 SSL/TLS 证书到期时,SSL It! 会自动签发一个 Let’s Encrypt 的免费 SSL/TLS 证书保护属于订阅的域名、子域名、域名别名和 web 邮箱的安全。在 SSL/TLS 证书到期后不到一个小时自动实现。
取消分配 SSL/TLS 证书
- 转到 网站与域名 > 您想要取消分配 SSL/TLS 证书的域名 > SSL/TLS 证书。
- 点击 取消分配证书 然后点击 确定。
增强网站的安全性
只是使用来自可信 CA 的有效 SSL/TLS 证书保护网站的安全无法做到全方位的保护。SSL 是一项复杂的技术,有多个功能(密钥加密算法、OSCP 装订、HSTS 等更多),通过这些功能可以增强网站访客的安全度并提高网站的性能。
启用这些功能可以提高网站的搜索引擎排名:
- “从 http 重定向到 https” 会设置永久的、SEO 安全 301 重定向,将网站和 web 邮箱从不安全的 HTTP 版永久重定向到安全的 HTTPS 版。
- HSTS 会禁止 web 浏览器通过不安全的 HTTP 连接访问网站。
- OSCP 会令 web 服务器从 CA 而不是访客的浏览器请求网站证书的状态(可以是良好、撤销或未知)。
警告: 在开启这些功能前,请确保您的网站可以通过 HTTPS 进行访问。否则,访客在访问您的网站时会遇到麻烦。
若要增强网站的安全性,请如下操作:
-
使用可信 CA 的有效 SSL/TLS 证书保护网站的安全。
-
转到 网站与域名 > 您的域名 > SSL/TLS 证书。
-
启用 “从 http 重定向到 https”(若尚未启用)。”从 http 重定向到 https” 将同时应用到网站和 web 邮箱。
注解: 如果您的 web 邮箱尚未使用有效的 SSL/TLS 证书保护或您还没有任何 web 邮箱,请清空 “包括 web 邮箱” 复选框。
-
启用 HSTS:
-
打开 HSTS。
-
确保保护您网站的 SSL/TLS 证书在 “Max-age” 期限内有效。对子域名和 web 邮箱子域名进行相同操作。否则,如果 SSL/TLS 证书早于 “Max-age” 期限到期而 HSTS 被开启,访客将无法访问您的网站。
-
如果您的子域名未使用有效的 SSL/TLS 证书进行安全保护或者您没有任何子域名,请清空 “包括子域名” 复选框。
-
如果您的 web 邮箱子域名尚未使用有效的 SSL/TLS 证书保护或您还没有任何 web 邮箱,请清空 “包括 web 邮箱” 复选框。
-
点击 启用 HSTS。
注解: 如果您的 SSL/TLS 证书早于 “Max-age” 期限到期但是您仍想要使用 HSTS,我们建议您启用 “保护网站的安全”。然后当 SSL/TLS 证书到期时,SSL It! 将自动签发 Let’s Encrypt 的免费证书用来保护属于订阅的域名、子域名、域名别名和 web 邮箱。网站将持续得到安全保护且 HSTS 将继续工作运行。
-
-
打开 “OCSP 装订”。
强化了网站的 SSL 的安全性后,则可以对其进行评估。
已知问题和局限性
- OCSP 装订只适用于由 nginx 和 Apache 服务或 nginx 单独服务的网站。如果您的网站只由 Apache 服务,则不需要开启 “OCSP 装订”。
- 如果完整的信任链未就位,OCSP 装订可能无法用于某些供应商的 SSL/TLS 证书(例如 DigiCert 的免费证书)。若要检查您的证书是否支持 OCSP 装订,请在您的 SSL 配置上运行 SSL Labs 测试。
评估网站的 SSL 的安全性
流行的搜索引擎(例如 Google)会给有更好 SSL 保护的网站更高排名。在 SSL It! 扩展中,您可以运行最流行的测试服务,Qualys SSL Labs,以实现:
- 检查您网站的 SSL 保护有多好。
- 查看哪些可以提升。
- 获得 A+,最高评分(必要时强化 SSL 保护后)。
若要评估网站的 SSL 的安全性,请如下操作:
- 转到 网站与域名 > 您的域名 > SSL/TLS 证书。
- 点击 “运行 SSL Labs 测试”。
将在新的标签中打开 Qualys SSL Labs 网站,然后自动开始测试。等测试结束后即可获得您的评分。这可能需要几分钟的时间。
如果您使用可信 CA 的有效 SSL/TLS 证书保护网站的安全,且打开了 SSL It! 提供的所有安全增强功能,最有可能得到 A+ 的评分。