觀看視頻教程

SSL It! 擴展會提供一個介面,通過該介面,可使用由可信的證書機構 (CA) Let’s Encrypt 和 DigiCert(Symantec、GeoTrust 和 RapidSSL 品牌)簽發的 SSL/TLS 證書或任何其它所選的 SSL/TLS 證書保護網站的安全。還可以:

  • 通過從 HTTP 重定向到 HTTPS 增強網站訪客的安全度。
  • 通過禁止 web 瀏覽器存取使用 HTTP 不安全連接的網站來保護網站訪客。
  • 使用 OCSP 裝訂保護網站訪客的隱私並提高網站性能。
  • 讓使用 SSL/TLS 證書加密的連接在使用 Mozilla 生成的協定和密碼時更安全。

開始使用 SSL It!

  1. SSL It! 擴展默認已安裝。
  2. 若要利用所有的 SSL It! 功能,請確保還安裝了最新版的 DigiCert SSL 和 Let’s Encrypt 擴展。

若要管理域名的 SSL/TLS 證書,請轉到 網站與域名 > 您的域名。您可以看到域名在 SSL/TLS 證書下當前的安全狀態:

image-status.png

使用 SSL/TLS 證書保護網站的安全

通過 SSL It! 擴展,您可以使用免費的和付費的 SSL/TLS 證書(目前只能使用 DigiCert 的證書)以及您已有的 SSL/TLS 證書保護網站的安全。

若要使用 Let’s Encrypt 免費的 SSL/TLS 證書保護網站的安全,請如下操作:

  1. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書
  2. 點按 免費獲取(」入門級別保護)」。
  3. 指定將用於緊急通知和丟失金鑰恢復的電郵地址。
  4. 選擇除了主域名之外還需保護的域名:
    • 如果您有 www 子域名和/或域名別名,可選擇 「包括域名的 「www」 子域名和每個選定的別名」 核取方塊。
    • 如果您使用 web 郵箱,可選擇 「保護此域名的 web 郵箱的安全」 核取方塊。
    • 如果您有所有上述域名外加其它域名,可選擇 「保護萬用字元域名(包括 www 和 web 郵箱)的安全」 按鈕。
  5. 點按 免費獲取

將會簽發一個 Let’s Encrypt 的 SSL/TLS 證書並自動安裝。

備註: 如果您使用 Let’s Encrypt 的 SSL/TLS 證書保護域名的安全然後向訂閱添加新的域名、子域名、域名別名或 web 郵箱,可重新簽發 Let’s Encrypt 的 SSL/TLS 證書以自動使用 SSL It! 保護它們的安全。具體操作是,轉到 網站與域名 > 您的域名 > SSL/TLS 證書 啟用 「保護網站的安全」 選項。

若要獲取付費的 SSL/TLS 證書,請如下操作:

  1. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書

  2. 找到您要購買的 SSL/TLS 證書。若要瞭解有關證書的資訊(有效期、驗證類型,等等),請點按“顯示詳情”。選擇好後,點按 即刻購買。然後自動將您重定向到 Plesk 線上商店。

  3. 填寫您的位址、支付資訊,然後購買證書。

  4. 返回到 Plesk(使用瀏覽器中的 返回 按鈕)。

  5. 付款處理需要一些時間。若要更新支付狀態,請點按 重新載入。Plesk 將自動每小時更新支付狀態一次。

    image-waiting-payment.png

  6. 付款處理後,點按 填寫必填資料

    image-payment-received.png

  7. 填寫必填聯繫資訊然後點按 確定

  8. Plesk 現在即自動創建證書簽名請求 (CSR) 然後接收和安裝 SSL/TLS 證書。根據不同類型的 SSL/TLS 證書,可能需要一定時間。您可以點按 重新載入 手動更新 SSL/TLS 證書狀態或等候 Plesk 自動將其更新(Plesk 會每小時檢查 SSL/TLS 證書狀態一次)。

備註: 某些類型的 SSL/TLS 證書(例如 EV)需要您額外執行一些操作。您可能需要接聽電話或回復電子郵件,同時還需提交必要的檔,這樣 CA 才可以驗證您的應用程式。

SSL/TLS 證書安裝好後,網站與域名 > 您的域名 > SSL/TLS 證書 螢幕將會顯示有關已安裝的 SSL/TLS 證書(名稱、證書機構、電郵地址,等等)、已安全保護的元件和其它選項(」從 http 重定向到 https」、」HSTS」,等等)的資訊。

上傳 SSL/TLS 證書

以下幾種情況,您可能想要上傳 SSL/TLS 證書:

  • 您已經有一個證書,想要用來保護域名的安全。
  • 您想要安裝無法通過 SSL It! 獲取的證書。

若要上傳 SSL/TLS 證書,請如下操作:

  1. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書 然後點按 上傳

    image-upload.png

  2. 找到您要上傳的 SSL/TLS 證書的 .pem 文件然後點按 打開

SSL/TLS 證書將自動在域名上安裝。

續訂更新已安裝的 SSL/TLS 證書

為了您的網站能夠得到持續有效的安全保護,您需要按時續訂更新已安裝的 SSL/TLS 證書。SSL It! 擴展會幫助您實現此目的。

SSL It! 會在證書到期前 30 天自動續訂更新 Let’s Encrypt 和 DigiCert 免費的 SSL/TLS 證書。

image-renew.png

SSL It! 無法自動續訂更新付費的 SSL/TLS 證書,但是您可以:

  • 手動重新簽發這些證書。
  • 讓 SSL It! 使用 Let’s Encrypt 免費的證書自動替換已到期的 SSL/TLS 證書。

若要重新簽發付費的 SSL/TLS 證書,請如下操作:

  1. 轉到 網站與域名 > 使用快要到期的付費 SSL/TLS 證書保護安全的域名 > SSL/TLS 證書

  2. 點按 重新簽發證書。然後會自動將您重定向到 Plesk 線上商店。

  3. 填寫您的位址、支付資訊,然後購買證書。

  4. 返回到 Plesk(使用瀏覽器中的 返回 按鈕)。

  5. 付款處理需要一些時間。若要更新支付狀態,請點按 重新載入。Plesk 將自動每小時更新支付狀態一次。

    image-waiting-payment.png

  6. 付款處理後,點按 填寫必填資料

    image-payment-received.png

  7. 填寫必填聯繫資訊然後點按 確定

  8. Plesk 現在即自動創建證書簽名請求 (CSR) 然後接收和安裝 SSL/TLS 證書。根據不同類型的 SSL/TLS 證書,可能需要一定時間。您可以點按 重新載入 手動更新 SSL/TLS 證書狀態或等候 Plesk 自動將其更新(Plesk 會每小時檢查 SSL/TLS 證書狀態一次)。

若要使用 Let’s Encrypt 免費的證書自動替換已到期的付費 SSL/TLS 證書,請如下操作:

  1. 轉到 網站與域名 > 使用快要到期的付費 SSL/TLS 證書保護安全的域名 > SSL/TLS 證書
  2. 開啟 「保護網站的安全」。

現在,當您的付費 SSL/TLS 證書到期時,SSL It! 會自動簽發一個 Let’s Encrypt 的免費 SSL/TLS 證書保護屬於訂閱的域名、子域名、域名別名和 web 郵箱的安全。在 SSL/TLS 證書到期後不到一個小時自動實現。

取消分配 SSL/TLS 證書

  1. 轉到 網站與域名 > 您想要取消分配 SSL/TLS 證書的域名 > SSL/TLS 證書
  2. 點按 取消分配證書 然後點按 確定

增強網站和已加密伺服器連接的安全性

僅僅使用來自可信 CA 的有效 SSL 證書保護網站的安全不足以獲得全面的保護。SSL 是一種複雜的技術,有很多功能(金鑰加密演算法、安全密碼、HSTS,等等),這些功能可以:

  • 增強網站訪客的安全性。
  • 提高網站性能。
  • 強化所有伺服器加密連接的安全性

啟用這些功能可以提高網站的搜尋引擎排名:

  • 「從 http 重定向到 https」 會設定永久的、SEO 安全 301 重定向,將網站和 web 郵箱從不安全的 HTTP 版永久重定向到安全的 HTTPS 版。
  • HSTS 會禁止 web 瀏覽器通過不安全的 HTTP 連接存取網站。
  • OSCP 會令 web 伺服器從 CA 而不是訪客的瀏覽器請求網站證書的狀態(可以是良好、撤銷或未知)。
  • Mozilla 提供的 TLS 版本和密碼強化了 SSL/TLS 證書保護的連接(網站、郵件、Plesk,等等)。

警示: 在開啟這些功能前,請確保您的網站可以通過 HTTPS 進行存取。否則,訪客在存取您的網站時會遇到麻煩。

備註: 如果您已手動在您的 web 伺服器中設定了 HSTS 或 OCSP 裝訂,請在 SSL It!.中打開 HSTS or OCSP 裝訂之前刪除這些自訂設定。

若要增強網站和已加密伺服器連接的安全性,請如下操作:

  1. 使用可信 CA 的有效 SSL/TLS 證書保護網站的安全。

  2. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書

  3. 如果您已從 Plesk 早期版本升級到 Plesk Obsidian,請打開 「從 http 重定向到 https」。默認此重定向也將會應用於 web 郵箱。在 Plesk Obsidian 乾淨的安裝實例上,預設已為域名和 web 郵箱打開重定向。

    備註: 如果您的 web 郵箱尚未使用有效的 SSL/TLS 證書保護或您還沒有任何 web 郵箱,請清空 「包括 web 郵箱」 核取方塊。

  4. 啟用 HSTS:

    1. 打開 HSTS。

    2. 確保保護您網站的 SSL/TLS 證書在 「Max-age」 期限內有效。對子域名和 web 郵箱子域名進行相同操作。否則,如果 SSL/TLS 證書早於 「Max-age」 期限到期而 HSTS 被開啟,訪客將無法存取您的網站。

    3. 如果您的子域名未使用有效的 SSL/TLS 證書進行安全保護或者您沒有任何子域名,請清空 「包括子域名」 核取方塊。

    4. 如果您的 web 郵箱子域名尚未使用有效的 SSL/TLS 證書保護或您還沒有任何 web 郵箱,請清空 「包括 web 郵箱」 核取方塊。

    5. 點按 啟用 HSTS

      備註: 如果您的 SSL/TLS 證書早於 「Max-age」 期限到期但是您仍想要使用 HSTS,我們建議您啟用 「保護網站的安全」。然後當 SSL/TLS 證書到期時,SSL It! 將自動簽發 Let’s Encrypt 的免費證書用來保護屬於訂閱的域名、子域名、域名別名和 web 郵箱。網站將持續得到安全保護且 HSTS 將繼續工作運行。

  5. 打開 「OCSP 裝訂」。

  6. 若要啟用 Mozilla 提供的 TLS 版本和密碼,請如下操作:

    1. 轉到 擴展 > 「我的擴展標籤」 > 點按 SSL It! 旁的 打開
    2. 打開 「Mozilla 提供的 TLS 版本和密碼」,保留 「中級(推薦)」,然後點按 啟用並同步
    3. 若要保持當前狀態,請每隔幾個月點按 “即刻同步” 一次。

一旦強化了網站和伺服器的 SSL 安全性,即可評估網站的 SSL 安全性。

已知問題和局限性

  • OCSP 裝訂只適用於由 nginx 和 Apache 服務或 nginx 單獨服務的網站。如果您的網站只由 Apache 服務,則不需要開啟 「OCSP 裝訂」。
  • 如果完整的信任鏈未就位,OCSP 裝訂可能無法用於某些供應商的 SSL/TLS 證書(例如 DigiCert 的免費證書)。若要檢查您的證書是否支援 OCSP 裝訂,請在您的 SSL 配置上運行 SSL Labs 測試。
  • 目前還不支援自動同步 Mozilla 提供的 TLS 版本和密碼。

評估網站的 SSL 的安全性

流行的搜尋引擎(例如 Google)會給有更好 SSL 保護的網站更高排名。在 SSL It! 擴展中,您可以運行最流行的測試服務,Qualys SSL Labs,以實現:

  • 檢查您網站的 SSL 保護有多好。
  • 查看哪些可以提升。
  • 獲得 A+,最高評分(必要時強化 SSL 保護後)。

若要評估網站的 SSL 的安全性,請如下操作:

  1. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書
  2. 點按 「運行 SSL Labs 測試」。

將在新的標籤中打開 Qualys SSL Labs 網站,然後自動開始測試。等測試結束後即可獲得您的評分。這可能需要幾分鐘的時間。

如果您使用可信 CA 的有效 SSL/TLS 證書保護網站的安全,且打開了 SSL It! 提供的所有安全增強功能,最有可能得到 A+ 的評分。

自訂 SSL It! 提供的 SSL/TLS 證書列表

預設情況下,當您想要使用 SSL/TLS 證書保護域名且要轉到 SSL It! 時,您會看到來自不同 CA 的四個 SSL/TLS 證書可供安裝。但還有更多。

SSL It! has a list of SSL/TLS certificates available for installation. You can choose which of them will be visible in the SSL It! interface for you, your customers, and resellers. You can do so in the SSL It! interface or via the CLI.

(Via the SSL It! interface) To customize the list of SSL/TLS certificates available for installation in SSL It!:

  1. 轉到 擴展 > 「我的擴展標籤」 > 點按 SSL It! 旁的 打開
  2. Next to 「SSL/TLS Certificates」, click 「Configure」.
  3. Select the desired SSL/TLS certificates and then click Save.

You, your customers, and resellers will now see only the selected certificates in the SSL It! interface.

(Via the CLI) To customize the list of SSL/TLS certificates available for installation in SSL It!:

  1. 通過 SSH 連接 Plesk 伺服器並運行以下命令獲取可用 SSL/TLS 證書的完整列表:

    plesk ext sslit --product -list
    
  2. Copy the vendor and the product IDs of the SSL/TLS certificate that you want to add to the list or remove from it.

    image-product-list.png

  3. To customize the list of SSL/TLS certificates, use the CLI commands of the following patterns:

    • To add an SSL/TLS certificate to the list:

      plesk ext sslit --product -add -vendor <vendor-ID> -product <product-ID>
      
    • To remove an SSL/TLS certificate from the list:

      plesk ext sslit --product -remove -vendor <vendor-ID> -product <product-ID>
      
    • To reset the list of SSL/TLS certificates to defaults:

      plesk ext sslit --product -reset-to-defaults
      

    For example, if you want to add the ssl-web-server-ev certificate from Thawte to the list, run the following command:

    plesk ext sslit --product -add -vendor symantec.thawte -product ssl-web-server-ev
    
  4. Repeat the commands described above multiple times until you get the desired list of available SSL/TLS certificates.

備註: 如果您是 SSL/TLS 證書的供應商,且想要整合證書並在 SSL It! 中出售,請通過電子郵件聯繫我們:extension@plesk.com。我們將告訴您如何開始編寫自己的擴展來整合 SSL/TLS 證書,並指導您操作直到證書可以在 SSL It!.中購買。