觀看視頻教程

SSL It! 擴展會提供一個介面,通過該介面,可使用由可信的證書機構 (CA) Let’s Encrypt 和 DigiCert(Symantec、GeoTrust 和 RapidSSL 品牌)簽發的 SSL/TLS 證書或任何其它所選的 SSL/TLS 證書保護網站的安全。還可以:

  • 通過從 HTTP 重定向到 HTTPS 增強網站訪客的安全度。
  • 通過禁止 web 瀏覽器存取使用 HTTP 不安全連接的網站來保護網站訪客。
  • 使用 OCSP 裝訂保護網站訪客的隱私並提高網站性能。

開始使用 SSL It!

若要管理域名的 SSL/TLS 證書,請轉到 網站與域名 > 您的域名。您可以看到域名在 SSL/TLS 證書下當前的安全狀態:

image status

使用 SSL/TLS 證書保護網站的安全

通過 SSL It! 擴展,您可以使用免費的和付費的 SSL/TLS 證書(目前只能使用 DigiCert 的證書)以及您已有的 SSL/TLS 證書保護網站的安全。

若要使用 Let’s Encrypt 免費的 SSL/TLS 證書保護網站的安全,請如下操作:

  1. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書
  2. 點按免費獲取(」入門級別保護)」。
  3. 指定將用於緊急通知和丟失金鑰恢復的電郵地址。
  4. 選擇除了主域名之外還需保護的域名:
    • 如果您有 www 子域名和/或域名別名,可選擇 「包括域名的 「www」 子域名和每個選定的別名」 核取方塊。
    • 如果您使用 web 郵箱,可選擇 「保護此域名的 web 郵箱的安全」 核取方塊。
    • 如果您有所有上述域名外加其它域名,可選擇 「保護萬用字元域名(包括 www 和 web 郵箱)的安全」 按鈕。
  5. 點按 免費獲取

將會簽發一個 Let’s Encrypt 的 SSL/TLS 證書並自動安裝。

備註: 如果您使用 Let’s Encrypt 的 SSL/TLS 證書保護域名的安全然後向訂閱添加新的域名、子域名、域名別名或 web 郵箱,可重新簽發 Let’s Encrypt 的 SSL/TLS 證書以自動使用 SSL It! 保護它們的安全。具體操作是,轉到 網站與域名 > 您的域名 > SSL/TLS 證書 啟用 「保護網站的安全」 選項。

若要獲取付費的 SSL/TLS 證書,請如下操作:

  1. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書

  2. 找到您要購買的 SSL/TLS 證書。若要瞭解有關證書的資訊(有效期、驗證類型,等等),請點按“顯示詳情”。選擇好後,點按 即刻購買。然後自動將您重定向到 Plesk 線上商店。

  3. 填寫您的位址、支付資訊,然後購買證書。

  4. 返回到 Plesk(使用瀏覽器中的 返回 按鈕)。

  5. 付款處理需要一些時間。若要更新支付狀態,請點按 重新載入。Plesk 將自動每小時更新支付狀態一次。

    image waiting payment

  6. 付款處理後,點按 填寫必填資料

    image payment received

  7. 填寫必填聯繫資訊然後點按 確定

  8. Plesk 現在即自動創建證書簽名請求 (CSR) 然後接收和安裝 SSL/TLS 證書。根據不同類型的 SSL/TLS 證書,可能需要一定時間。您可以點按 重新載入 手動更新 SSL/TLS 證書狀態或等候 Plesk 自動將其更新(Plesk 會每小時檢查 SSL/TLS 證書狀態一次)。

備註: 某些類型的 SSL/TLS 證書(例如 EV)需要您額外執行一些操作。您可能需要接聽電話或回復電子郵件,同時還需提交必要的檔,這樣 CA 才可以驗證您的應用程式。

SSL/TLS 證書安裝好後,網站與域名 > 您的域名 > SSL/TLS 證書 螢幕將會顯示有關已安裝的 SSL/TLS 證書(名稱、證書機構、電郵地址,等等)、已安全保護的元件和其它選項(」從 http 重定向到 https」、」HSTS」,等等)的資訊。

上傳 SSL/TLS 證書

以下幾種情況,您可能想要上傳 SSL/TLS 證書:

  • 您已經有一個證書,想要用來保護域名的安全。
  • 您想要安裝無法通過 SSL It! 獲取的證書。

若要上傳 SSL/TLS 證書,請如下操作:

  1. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書 然後點按 上傳

    image upload

  2. 找到您要上傳的 SSL/TLS 證書的 .pem 文件然後點按 打開

SSL/TLS 證書將自動在域名上安裝。

續訂更新已安裝的 SSL/TLS 證書

為了您的網站能夠得到持續有效的安全保護,您需要按時續訂更新已安裝的 SSL/TLS 證書。SSL It! 擴展會幫助您實現此目的。

SSL It! 會在證書到期前 30 天自動續訂更新 Let’s Encrypt 和 DigiCert 免費的 SSL/TLS 證書。

image renew

SSL It! 無法自動續訂更新付費的 SSL/TLS 證書,但是您可以:

  • 手動重新簽發這些證書。
  • 讓 SSL It! 使用 Let’s Encrypt 免費的證書自動替換已到期的 SSL/TLS 證書。

若要重新簽發付費的 SSL/TLS 證書,請如下操作:

  1. 轉到 網站與域名 > 使用快要到期的付費 SSL/TLS 證書保護安全的域名 > SSL/TLS 證書

  2. 點按 重新簽發證書。然後會自動將您重定向到 Plesk 線上商店。

  3. 填寫您的位址、支付資訊,然後購買證書。

  4. 返回到 Plesk(使用瀏覽器中的 返回 按鈕)。

  5. 付款處理需要一些時間。若要更新支付狀態,請點按 重新載入。Plesk 將自動每小時更新支付狀態一次。

    image waiting payment

  6. 付款處理後,點按 填寫必填資料

    image payment received

  7. 填寫必填聯繫資訊然後點按 確定

  8. Plesk 現在即自動創建證書簽名請求 (CSR) 然後接收和安裝 SSL/TLS 證書。根據不同類型的 SSL/TLS 證書,可能需要一定時間。您可以點按 重新載入 手動更新 SSL/TLS 證書狀態或等候 Plesk 自動將其更新(Plesk 會每小時檢查 SSL/TLS 證書狀態一次)。

若要使用 Let’s Encrypt 免費的證書自動替換已到期的付費 SSL/TLS 證書,請如下操作:

  1. 轉到 網站與域名 > 使用快要到期的付費 SSL/TLS 證書保護安全的域名 > SSL/TLS 證書
  2. 開啟 「保護網站的安全」。

現在,當您的付費 SSL/TLS 證書到期時,SSL It! 會自動簽發一個 Let’s Encrypt 的免費 SSL/TLS 證書保護屬於訂閱的域名、子域名、域名別名和 web 郵箱的安全。在 SSL/TLS 證書到期後不到一個小時自動實現。

取消分配 SSL/TLS 證書

  1. 轉到 網站與域名 > 您想要取消分配 SSL/TLS 證書的域名 > SSL/TLS 證書
  2. 點按 取消分配證書 然後點按 確定

增強網站的安全性

只是使用來自可信 CA 的有效 SSL/TLS 證書保護網站的安全無法做到全方位的保護。SSL 是一項複雜的技術,有多個功能(金鑰加密演算法、OSCP 裝訂、HSTS 等更多),通過這些功能可以增強網站訪客的安全度並提高網站的性能。

啟用這些功能可以提高網站的搜尋引擎排名:

  • 「從 http 重定向到 https」 會設定永久的、SEO 安全 301 重定向,將網站和 web 郵箱從不安全的 HTTP 版永久重定向到安全的 HTTPS 版。
  • HSTS 會禁止 web 瀏覽器通過不安全的 HTTP 連接存取網站。
  • OSCP 會令 web 伺服器從 CA 而不是訪客的瀏覽器請求網站證書的狀態(可以是良好、撤銷或未知)。

警示: 在開啟這些功能前,請確保您的網站可以通過 HTTPS 進行存取。否則,訪客在存取您的網站時會遇到麻煩。

若要增強網站的安全性,請如下操作:

  1. 使用可信 CA 的有效 SSL/TLS 證書保護網站的安全。

  2. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書

  3. 啟用 「從 http 重定向到 https」(若尚未啟用)。」從 http 重定向到 https」 將同時應用到網站和 web 郵箱。

    備註: 如果您的 web 郵箱尚未使用有效的 SSL/TLS 證書保護或您還沒有任何 web 郵箱,請清空 「包括 web 郵箱」 核取方塊。

  4. 啟用 HSTS:

    1. 打開 HSTS。

    2. 確保保護您網站的 SSL/TLS 證書在 「Max-age」 期限內有效。對子域名和 web 郵箱子域名進行相同操作。否則,如果 SSL/TLS 證書早於 「Max-age」 期限到期而 HSTS 被開啟,訪客將無法存取您的網站。

    3. 如果您的子域名未使用有效的 SSL/TLS 證書進行安全保護或者您沒有任何子域名,請清空 「包括子域名」 核取方塊。

    4. 如果您的 web 郵箱子域名尚未使用有效的 SSL/TLS 證書保護或您還沒有任何 web 郵箱,請清空 「包括 web 郵箱」 核取方塊。

    5. 點按 啟用 HSTS

      備註: 如果您的 SSL/TLS 證書早於 「Max-age」 期限到期但是您仍想要使用 HSTS,我們建議您啟用 「保護網站的安全」。然後當 SSL/TLS 證書到期時,SSL It! 將自動簽發 Let’s Encrypt 的免費證書用來保護屬於訂閱的域名、子域名、域名別名和 web 郵箱。網站將持續得到安全保護且 HSTS 將繼續工作運行。

  5. 打開 「OCSP 裝訂」。

強化了網站的 SSL 的安全性後,則可以對其進行評估。

已知問題和局限性

  • OCSP 裝訂只適用於由 nginx 和 Apache 服務或 nginx 單獨服務的網站。如果您的網站只由 Apache 服務,則不需要開啟 「OCSP 裝訂」。
  • 如果完整的信任鏈未就位,OCSP 裝訂可能無法用於某些供應商的 SSL/TLS 證書(例如 DigiCert 的免費證書)。若要檢查您的證書是否支援 OCSP 裝訂,請在您的 SSL 配置上運行 SSL Labs 測試。

評估網站的 SSL 的安全性

流行的搜尋引擎(例如 Google)會給有更好 SSL 保護的網站更高排名。在 SSL It! 擴展中,您可以運行最流行的測試服務,Qualys SSL Labs,以實現:

  • 檢查您網站的 SSL 保護有多好。
  • 查看哪些可以提升。
  • 獲得 A+,最高評分(必要時強化 SSL 保護後)。

若要評估網站的 SSL 的安全性,請如下操作:

  1. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書
  2. 點按 「運行 SSL Labs 測試」。

將在新的標籤中打開 Qualys SSL Labs 網站,然後自動開始測試。等測試結束後即可獲得您的評分。這可能需要幾分鐘的時間。

如果您使用可信 CA 的有效 SSL/TLS 證書保護網站的安全,且打開了 SSL It! 提供的所有安全增強功能,最有可能得到 A+ 的評分。