观看视频教程

SSL It! 扩展会提供一个界面,通过该界面,可使用由可信的证书机构 (CA) Let’s Encrypt 和 DigiCert(Symantec、GeoTrust 和 RapidSSL 品牌)签发的 SSL/TLS 证书或任何其它所选的 SSL/TLS 证书保护网站的安全。还可以:

  • 通过从 HTTP 重定向到 HTTPS 增强网站访客的安全度。
  • 通过禁止 web 浏览器访问使用 HTTP 不安全连接的网站来保护网站访客。
  • 使用 OCSP 装订保护网站访客的隐私并提高网站性能。

开始使用 SSL It!

若要管理域名的 SSL/TLS 证书,请转到 网站与域名 > 您的域名。您可以看到域名在 SSL/TLS 证书下当前的安全状态:

image-status.png

使用 SSL/TLS 证书保护网站的安全

通过 SSL It! 扩展,您可以使用免费的和付费的 SSL/TLS 证书(目前只能使用 DigiCert 的证书)以及您已有的 SSL/TLS 证书保护网站的安全。

若要使用 Let’s Encrypt 免费的 SSL/TLS 证书保护网站的安全,请如下操作:

  1. 转到 网站与域名 > 您的域名 > SSL/TLS 证书
  2. 点击 免费获取(”入门级别保护)”。
  3. 指定将用于紧急通知和丢失密钥恢复的电子邮件地址。
  4. 选择除了主域名之外还需保护的域名:
    • 如果您有 www 子域名和/或域名别名,可选择 “包括域名的 “www” 子域名和每个选定的别名” 复选框。
    • 如果您使用 web 邮箱,可选择 “保护此域名的 web 邮箱的安全” 复选框。
    • 如果您有所有上述域名外加其它域名,可选择 “保护通配符域名(包括 www 和 web 邮箱)的安全” 按钮。
  5. 点击 免费获取

将会签发一个 Let’s Encrypt 的 SSL/TLS 证书并自动安装。

注解: 如果您使用 Let’s Encrypt 的 SSL/TLS 证书保护域名的安全然后向订阅添加新的域名、子域名、域名别名或 web 邮箱,可重新签发 Let’s Encrypt 的 SSL/TLS 证书以自动使用 SSL It! 保护它们的安全。具体操作是,转到 网站与域名 > 您的域名 > SSL/TLS 证书 启用 “保护网站的安全” 选项。

若要获取付费的 SSL/TLS 证书,请如下操作:

  1. 转到 网站与域名 > 您的域名 > SSL/TLS 证书

  2. 找到您要购买的 SSL/TLS 证书。若要了解有关证书的信息(有效期、验证类型,等等),请点击“显示详情”。选择好后,点击 即刻购买。然后自动将您重定向到 Plesk 在线商店。

  3. 填写您的地址、支付信息,然后购买证书。

  4. 返回到 Plesk(使用浏览器中的 返回 按钮)。

  5. 付款处理需要一些时间。若要更新支付状态,请点击 重新加载。Plesk 将自动每小时更新支付状态一次。

    image-waiting-payment.png

  6. 付款处理后,点击 填写必填数据

    image-payment-received.png

  7. 填写必填联系信息然后点击 确定

  8. Plesk 现在即自动创建证书签名请求 (CSR) 然后接收和安装 SSL/TLS 证书。根据不同类型的 SSL/TLS 证书,可能需要一定时间。您可以点击 重新加载 手动更新 SSL/TLS 证书状态或等候 Plesk 自动将其更新(Plesk 会每小时检查 SSL/TLS 证书状态一次)。

注解: 某些类型的 SSL/TLS 证书(例如 EV)需要您额外执行一些操作。您可能需要接听电话或回复电子邮件,同时还需提交必要的文件,这样 CA 才可以验证您的应用程序。

SSL/TLS 证书安装好后,网站与域名 > 您的域名 > SSL/TLS 证书 屏幕将会显示有关已安装的 SSL/TLS 证书(名称、证书机构、电子邮件地址,等等)、已安全保护的组件和其它选项(”从 http 重定向到 https”、”HSTS”,等等)的信息。

上传 SSL/TLS 证书

以下几种情况,您可能想要上传 SSL/TLS 证书:

  • 您已经有一个证书,想要用来保护域名的安全。
  • 您想要安装无法通过 SSL It! 获取的证书。

若要上传 SSL/TLS 证书,请如下操作:

  1. 转到 网站与域名 > 您的域名 > SSL/TLS 证书 然后点击 上传

    image-upload.png

  2. 找到您要上传的 SSL/TLS 证书的 .pem 文件然后点击 打开

SSL/TLS 证书将自动在域名上安装。

续订更新已安装的 SSL/TLS 证书

为了您的网站能够得到持续有效的安全保护,您需要按时续订更新已安装的 SSL/TLS 证书。SSL It! 扩展会帮助您实现此目的。

SSL It! 会在证书到期前 30 天自动续订更新 Let’s Encrypt 和 DigiCert 免费的 SSL/TLS 证书。

image-renew.png

SSL It! 无法自动续订更新付费的 SSL/TLS 证书,但是您可以:

  • 手动重新签发这些证书。
  • 让 SSL It! 使用 Let’s Encrypt 免费的证书自动替换已到期的 SSL/TLS 证书。

若要重新签发付费的 SSL/TLS 证书,请如下操作:

  1. 转到 网站与域名 > 使用快要到期的付费 SSL/TLS 证书保护安全的域名 > SSL/TLS 证书

  2. 点击 重新签发证书。然后会自动将您重定向到 Plesk 在线商店。

  3. 填写您的地址、支付信息,然后购买证书。

  4. 返回到 Plesk(使用浏览器中的 返回 按钮)。

  5. 付款处理需要一些时间。若要更新支付状态,请点击 重新加载。Plesk 将自动每小时更新支付状态一次。

    image-waiting-payment.png

  6. 付款处理后,点击 填写必填数据

    image-payment-received.png

  7. 填写必填联系信息然后点击 确定

  8. Plesk 现在即自动创建证书签名请求 (CSR) 然后接收和安装 SSL/TLS 证书。根据不同类型的 SSL/TLS 证书,可能需要一定时间。您可以点击 重新加载 手动更新 SSL/TLS 证书状态或等候 Plesk 自动将其更新(Plesk 会每小时检查 SSL/TLS 证书状态一次)。

若要使用 Let’s Encrypt 免费的证书自动替换已到期的付费 SSL/TLS 证书,请如下操作:

  1. 转到 网站与域名 > 使用快要到期的付费 SSL/TLS 证书保护安全的域名 > SSL/TLS 证书
  2. 开启 “保护网站的安全”。

现在,当您的付费 SSL/TLS 证书到期时,SSL It! 会自动签发一个 Let’s Encrypt 的免费 SSL/TLS 证书保护属于订阅的域名、子域名、域名别名和 web 邮箱的安全。在 SSL/TLS 证书到期后不到一个小时自动实现。

取消分配 SSL/TLS 证书

  1. 转到 网站与域名 > 您想要取消分配 SSL/TLS 证书的域名 > SSL/TLS 证书
  2. 点击 取消分配证书 然后点击 确定

增强网站的安全性

只是使用来自可信 CA 的有效 SSL/TLS 证书保护网站的安全无法做到全方位的保护。SSL 是一项复杂的技术,有多个功能(密钥加密算法、OSCP 装订、HSTS 等更多),通过这些功能可以增强网站访客的安全度并提高网站的性能。

启用这些功能可以提高网站的搜索引擎排名:

  • “从 http 重定向到 https” 会设置永久的、SEO 安全 301 重定向,将网站和 web 邮箱从不安全的 HTTP 版永久重定向到安全的 HTTPS 版。
  • HSTS 会禁止 web 浏览器通过不安全的 HTTP 连接访问网站。
  • OSCP 会令 web 服务器从 CA 而不是访客的浏览器请求网站证书的状态(可以是良好、撤销或未知)。

警告: 在开启这些功能前,请确保您的网站可以通过 HTTPS 进行访问。否则,访客在访问您的网站时会遇到麻烦。

若要增强网站的安全性,请如下操作:

  1. 使用可信 CA 的有效 SSL/TLS 证书保护网站的安全。

  2. 转到 网站与域名 > 您的域名 > SSL/TLS 证书

  3. 启用 “从 http 重定向到 https”(若尚未启用)。”从 http 重定向到 https” 将同时应用到网站和 web 邮箱。

    注解: 如果您的 web 邮箱尚未使用有效的 SSL/TLS 证书保护或您还没有任何 web 邮箱,请清空 “包括 web 邮箱” 复选框。

  4. 启用 HSTS:

    1. 打开 HSTS。

    2. 确保保护您网站的 SSL/TLS 证书在 “Max-age” 期限内有效。对子域名和 web 邮箱子域名进行相同操作。否则,如果 SSL/TLS 证书早于 “Max-age” 期限到期而 HSTS 被开启,访客将无法访问您的网站。

    3. 如果您的子域名未使用有效的 SSL/TLS 证书进行安全保护或者您没有任何子域名,请清空 “包括子域名” 复选框。

    4. 如果您的 web 邮箱子域名尚未使用有效的 SSL/TLS 证书保护或您还没有任何 web 邮箱,请清空 “包括 web 邮箱” 复选框。

    5. 点击 启用 HSTS

      注解: 如果您的 SSL/TLS 证书早于 “Max-age” 期限到期但是您仍想要使用 HSTS,我们建议您启用 “保护网站的安全”。然后当 SSL/TLS 证书到期时,SSL It! 将自动签发 Let’s Encrypt 的免费证书用来保护属于订阅的域名、子域名、域名别名和 web 邮箱。网站将持续得到安全保护且 HSTS 将继续工作运行。

  5. 打开 “OCSP 装订”。

强化了网站的 SSL 的安全性后,则可以对其进行评估。

已知问题和局限性

  • OCSP 装订只适用于由 nginx 和 Apache 服务或 nginx 单独服务的网站。如果您的网站只由 Apache 服务,则不需要开启 “OCSP 装订”。
  • 如果完整的信任链未就位,OCSP 装订可能无法用于某些供应商的 SSL/TLS 证书(例如 DigiCert 的免费证书)。若要检查您的证书是否支持 OCSP 装订,请在您的 SSL 配置上运行 SSL Labs 测试。

评估网站的 SSL 的安全性

流行的搜索引擎(例如 Google)会给有更好 SSL 保护的网站更高排名。在 SSL It! 扩展中,您可以运行最流行的测试服务,Qualys SSL Labs,以实现:

  • 检查您网站的 SSL 保护有多好。
  • 查看哪些可以提升。
  • 获得 A+,最高评分(必要时强化 SSL 保护后)。

若要评估网站的 SSL 的安全性,请如下操作:

  1. 转到 网站与域名 > 您的域名 > SSL/TLS 证书
  2. 点击 “运行 SSL Labs 测试”。

将在新的标签中打开 Qualys SSL Labs 网站,然后自动开始测试。等测试结束后即可获得您的评分。这可能需要几分钟的时间。

如果您使用可信 CA 的有效 SSL/TLS 证书保护网站的安全,且打开了 SSL It! 提供的所有安全增强功能,最有可能得到 A+ 的评分。