觀看視頻教程

SSL It! 擴展會提供一個介面,通過該介面,可使用由可信的證書機構 (CA) Let’s Encrypt 和 DigiCert(Symantec、GeoTrust 和 RapidSSL 品牌)簽發的 SSL/TLS 證書或任何其它所選的 SSL/TLS 證書保護網站的安全。還可以:

  • 通過從 HTTP 重定向到 HTTPS 增強網站訪客的安全度。
  • 通過禁止 web 瀏覽器存取使用 HTTP 不安全連接的網站來保護網站訪客。
  • 使用 OCSP 裝訂保護網站訪客的隱私並提高網站性能。

開始使用 SSL It!

若要管理域名的 SSL/TLS 證書,請轉到 網站與域名 > 您的域名。您可以看到域名在 SSL/TLS 證書下當前的安全狀態:

image-status.png

使用 SSL/TLS 證書保護網站的安全

通過 SSL It! 擴展,您可以使用免費的和付費的 SSL/TLS 證書(目前只能使用 DigiCert 的證書)以及您已有的 SSL/TLS 證書保護網站的安全。

若要使用 Let’s Encrypt 免費的 SSL/TLS 證書保護網站的安全,請如下操作:

  1. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書
  2. 點按免費獲取(」入門級別保護)」。
  3. 指定將用於緊急通知和丟失金鑰恢復的電郵地址。
  4. 選擇除了主域名之外還需保護的域名:
    • 如果您有 www 子域名和/或域名別名,可選擇 「包括域名的 「www」 子域名和每個選定的別名」 核取方塊。
    • 如果您使用 web 郵箱,可選擇 「保護此域名的 web 郵箱的安全」 核取方塊。
    • 如果您有所有上述域名外加其它域名,可選擇 「保護萬用字元域名(包括 www 和 web 郵箱)的安全」 按鈕。
  5. 點按 免費獲取

將會簽發一個 Let’s Encrypt 的 SSL/TLS 證書並自動安裝。

備註: 如果您使用 Let’s Encrypt 的 SSL/TLS 證書保護域名的安全然後向訂閱添加新的域名、子域名、域名別名或 web 郵箱,可重新簽發 Let’s Encrypt 的 SSL/TLS 證書以自動使用 SSL It! 保護它們的安全。具體操作是,轉到 網站與域名 > 您的域名 > SSL/TLS 證書 啟用 「保護網站的安全」 選項。

若要獲取付費的 SSL/TLS 證書,請如下操作:

  1. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書

  2. 找到您要購買的 SSL/TLS 證書。若要瞭解有關證書的資訊(有效期、驗證類型,等等),請點按“顯示詳情”。選擇好後,點按 即刻購買。然後自動將您重定向到 Plesk 線上商店。

  3. 填寫您的位址、支付資訊,然後購買證書。

  4. 返回到 Plesk(使用瀏覽器中的 返回 按鈕)。

  5. 付款處理需要一些時間。若要更新支付狀態,請點按 重新載入。Plesk 將自動每小時更新支付狀態一次。

    image-waiting-payment.png

  6. 付款處理後,點按 填寫必填資料

    image-payment-received.png

  7. 填寫必填聯繫資訊然後點按 確定

  8. Plesk 現在即自動創建證書簽名請求 (CSR) 然後接收和安裝 SSL/TLS 證書。根據不同類型的 SSL/TLS 證書,可能需要一定時間。您可以點按 重新載入 手動更新 SSL/TLS 證書狀態或等候 Plesk 自動將其更新(Plesk 會每小時檢查 SSL/TLS 證書狀態一次)。

備註: 某些類型的 SSL/TLS 證書(例如 EV)需要您額外執行一些操作。您可能需要接聽電話或回復電子郵件,同時還需提交必要的檔,這樣 CA 才可以驗證您的應用程式。

SSL/TLS 證書安裝好後,網站與域名 > 您的域名 > SSL/TLS 證書 螢幕將會顯示有關已安裝的 SSL/TLS 證書(名稱、證書機構、電郵地址,等等)、已安全保護的元件和其它選項(」從 http 重定向到 https」、」HSTS」,等等)的資訊。

上傳 SSL/TLS 證書

以下幾種情況,您可能想要上傳 SSL/TLS 證書:

  • 您已經有一個證書,想要用來保護域名的安全。
  • 您想要安裝無法通過 SSL It! 獲取的證書。

若要上傳 SSL/TLS 證書,請如下操作:

  1. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書 然後點按 上傳

    image-upload.png

  2. 找到您要上傳的 SSL/TLS 證書的 .pem 文件然後點按 打開

SSL/TLS 證書將自動在域名上安裝。

續訂更新已安裝的 SSL/TLS 證書

為了您的網站能夠得到持續有效的安全保護,您需要按時續訂更新已安裝的 SSL/TLS 證書。SSL It! 擴展會幫助您實現此目的。

SSL It! 會在證書到期前 30 天自動續訂更新 Let’s Encrypt 和 DigiCert 免費的 SSL/TLS 證書。

image-renew.png

SSL It! 無法自動續訂更新付費的 SSL/TLS 證書,但是您可以:

  • 手動重新簽發這些證書。
  • 讓 SSL It! 使用 Let’s Encrypt 免費的證書自動替換已到期的 SSL/TLS 證書。

若要重新簽發付費的 SSL/TLS 證書,請如下操作:

  1. 轉到 網站與域名 > 使用快要到期的付費 SSL/TLS 證書保護安全的域名 > SSL/TLS 證書

  2. 點按 重新簽發證書。然後會自動將您重定向到 Plesk 線上商店。

  3. 填寫您的位址、支付資訊,然後購買證書。

  4. 返回到 Plesk(使用瀏覽器中的 返回 按鈕)。

  5. 付款處理需要一些時間。若要更新支付狀態,請點按 重新載入。Plesk 將自動每小時更新支付狀態一次。

    image-waiting-payment.png

  6. 付款處理後,點按 填寫必填資料

    image-payment-received.png

  7. 填寫必填聯繫資訊然後點按 確定

  8. Plesk 現在即自動創建證書簽名請求 (CSR) 然後接收和安裝 SSL/TLS 證書。根據不同類型的 SSL/TLS 證書,可能需要一定時間。您可以點按 重新載入 手動更新 SSL/TLS 證書狀態或等候 Plesk 自動將其更新(Plesk 會每小時檢查 SSL/TLS 證書狀態一次)。

若要使用 Let’s Encrypt 免費的證書自動替換已到期的付費 SSL/TLS 證書,請如下操作:

  1. 轉到 網站與域名 > 使用快要到期的付費 SSL/TLS 證書保護安全的域名 > SSL/TLS 證書
  2. 開啟 「保護網站的安全」。

現在,當您的付費 SSL/TLS 證書到期時,SSL It! 會自動簽發一個 Let’s Encrypt 的免費 SSL/TLS 證書保護屬於訂閱的域名、子域名、域名別名和 web 郵箱的安全。在 SSL/TLS 證書到期後不到一個小時自動實現。

取消分配 SSL/TLS 證書

  1. 轉到 網站與域名 > 您想要取消分配 SSL/TLS 證書的域名 > SSL/TLS 證書
  2. 點按 取消分配證書 然後點按 確定

增強網站的安全性

只是使用來自可信 CA 的有效 SSL/TLS 證書保護網站的安全無法做到全方位的保護。SSL 是一項複雜的技術,有多個功能(金鑰加密演算法、OSCP 裝訂、HSTS 等更多),通過這些功能可以增強網站訪客的安全度並提高網站的性能。

啟用這些功能可以提高網站的搜尋引擎排名:

  • 「從 http 重定向到 https」 會設定永久的、SEO 安全 301 重定向,將網站和 web 郵箱從不安全的 HTTP 版永久重定向到安全的 HTTPS 版。
  • HSTS 會禁止 web 瀏覽器通過不安全的 HTTP 連接存取網站。
  • OSCP 會令 web 伺服器從 CA 而不是訪客的瀏覽器請求網站證書的狀態(可以是良好、撤銷或未知)。

警示: 在開啟這些功能前,請確保您的網站可以通過 HTTPS 進行存取。否則,訪客在存取您的網站時會遇到麻煩。

若要增強網站的安全性,請如下操作:

  1. 使用可信 CA 的有效 SSL/TLS 證書保護網站的安全。

  2. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書

  3. 啟用 「從 http 重定向到 https」(若尚未啟用)。」從 http 重定向到 https」 將同時應用到網站和 web 郵箱。

    備註: 如果您的 web 郵箱尚未使用有效的 SSL/TLS 證書保護或您還沒有任何 web 郵箱,請清空 「包括 web 郵箱」 核取方塊。

  4. 啟用 HSTS:

    1. 打開 HSTS。

    2. 確保保護您網站的 SSL/TLS 證書在 「Max-age」 期限內有效。對子域名和 web 郵箱子域名進行相同操作。否則,如果 SSL/TLS 證書早於 「Max-age」 期限到期而 HSTS 被開啟,訪客將無法存取您的網站。

    3. 如果您的子域名未使用有效的 SSL/TLS 證書進行安全保護或者您沒有任何子域名,請清空 「包括子域名」 核取方塊。

    4. 如果您的 web 郵箱子域名尚未使用有效的 SSL/TLS 證書保護或您還沒有任何 web 郵箱,請清空 「包括 web 郵箱」 核取方塊。

    5. 點按 啟用 HSTS

      備註: 如果您的 SSL/TLS 證書早於 「Max-age」 期限到期但是您仍想要使用 HSTS,我們建議您啟用 「保護網站的安全」。然後當 SSL/TLS 證書到期時,SSL It! 將自動簽發 Let’s Encrypt 的免費證書用來保護屬於訂閱的域名、子域名、域名別名和 web 郵箱。網站將持續得到安全保護且 HSTS 將繼續工作運行。

  5. 打開 「OCSP 裝訂」。

強化了網站的 SSL 的安全性後,則可以對其進行評估。

已知問題和局限性

  • OCSP 裝訂只適用於由 nginx 和 Apache 服務或 nginx 單獨服務的網站。如果您的網站只由 Apache 服務,則不需要開啟 「OCSP 裝訂」。
  • 如果完整的信任鏈未就位,OCSP 裝訂可能無法用於某些供應商的 SSL/TLS 證書(例如 DigiCert 的免費證書)。若要檢查您的證書是否支援 OCSP 裝訂,請在您的 SSL 配置上運行 SSL Labs 測試。

評估網站的 SSL 的安全性

流行的搜尋引擎(例如 Google)會給有更好 SSL 保護的網站更高排名。在 SSL It! 擴展中,您可以運行最流行的測試服務,Qualys SSL Labs,以實現:

  • 檢查您網站的 SSL 保護有多好。
  • 查看哪些可以提升。
  • 獲得 A+,最高評分(必要時強化 SSL 保護後)。

若要評估網站的 SSL 的安全性,請如下操作:

  1. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書
  2. 點按 「運行 SSL Labs 測試」。

將在新的標籤中打開 Qualys SSL Labs 網站,然後自動開始測試。等測試結束後即可獲得您的評分。這可能需要幾分鐘的時間。

如果您使用可信 CA 的有效 SSL/TLS 證書保護網站的安全,且打開了 SSL It! 提供的所有安全增強功能,最有可能得到 A+ 的評分。