观看视频教程

SSL It! 扩展会提供一个界面,通过该界面,可使用由可信的证书机构 (CA) Let’s Encrypt 和 DigiCert(Symantec、GeoTrust 和 RapidSSL 品牌)签发的 SSL/TLS 证书或任何其它所选的 SSL/TLS 证书保护网站的安全。使用该扩展,您还可以执行以下操作:

  • 通过从 HTTP 重定向到 HTTPS 增强网站访客的安全度。
  • 通过禁止 web 浏览器访问使用 HTTP 不安全连接的网站来保护网站访客。
  • 使用 OCSP 装订保护网站访客的隐私并提高网站性能。

开始使用 SSL It!

若要管理域名的 SSL/TLS 证书,请转到 网站与域名 > 您的域名。您可以看到 “SSL/TLS 证书”下域名当前的安全状态。

image status

使用 SSL/TLS 证书保护网站的安全

通过 SSL It! 扩展,您可以使用免费的和付费的 SSL/TLS 证书(目前只能使用 DigiCert 的证书)以及您已有的 SSL/TLS 证书保护网站的安全。

若要使用 Let’s Encrypt 免费的 SSL/TLS 证书保护网站的安全,请如下操作:

  1. 转到 网站与域名 > 您的域名 > SSL/TLS 证书

  2. 在 “更多选项” 下,点击 安装

    image install_button

  3. 指定将用于紧急通知和丢失密钥恢复的电子邮件地址。

  4. 选择除了主域名之外还需保护的域名:

    • 保护主域名的安全。只保护主域名。如果您只想保护 web 邮箱的安全,可以清空该复选框。
    • 保护通配符域名(包括 www 和 web 邮箱)的安全。保护 www 子域名和/或域名别名和 web 邮箱。
    • 包括域名的一个“www”子域名和每个选定的别名。保护www子域名和/或域名别名。
    • 保护此域名上的 web 邮箱的安全。保护 web 邮箱。
    • 将证书分配给邮件域名。使用IMAP、POP或SMTP协议保护邮件的安全。如果您有www子域名和/或域名别名,请选中**包括域名的“www”子域名和每个选定的别名**复选框。
  5. 点击 免费获取

将会签发一个 Let’s Encrypt 的 SSL/TLS 证书并自动安装。

注解: 如果您使用 Let’s Encrypt 的 SSL/TLS 证书保护域名的安全然后向订阅添加新的域名、子域名、域名别名或 web 邮箱,可重新签发 Let’s Encrypt 的 SSL/TLS 证书以自动使用 SSL It! 保护它们的安全。具体操作是,转到 网站与域名 > 您的域名 > SSL/TLS 证书 启用 “保护网站的安全” 选项。

若要获取付费的 SSL/TLS 证书,请如下操作:

  1. 转到 网站与域名 > 您的域名 > SSL/TLS 证书

  2. 若要获取可用证书的列表,请单击“获取证书”:

    image Get_Certificates_Button

  3. 选择您要购买的SSL/TLS证书,然后单击证书表单中的**购买**按钮. .. 注意:

    To find an appropriate certificate, you can do the following:
    
    -   Filter the available certificates. You can apply the "Recommended", "Wildcard", and
        "For organization use" filter sets.
    -   Read more about a certificate (its validity period, validation type, and so on) by
        clicking the **Learn more** button in the certificate’s form.
    
  4. 在Plesk在线商店的弹出窗口中,填写您的地址、支付信息,然后购买证书。

  5. 关闭弹出窗口。

  6. 等待 Plesk 更新付款状态或通过点击**重新加载**手动将其更新。Plesk每小时自动更新一次付款状态。

    image waiting payment

  7. 付款处理后,点击 填写必填数据

    image payment received

  8. 填写必填联系信息然后点击 确定

Plesk 现在即自动创建证书签名请求 (CSR) 然后接收和安装 SSL/TLS 证书。根据不同类型的 SSL/TLS 证书,可能需要一定时间。您可以点击 重新加载 手动更新 SSL/TLS 证书状态或等候 Plesk 自动将其更新(Plesk 会每小时检查 SSL/TLS 证书状态一次)。

注解: 某些类型的 SSL/TLS 证书(例如 EV)需要您额外执行一些操作。您可能需要接听电话或回复电子邮件,同时还需提交必要的文件,这样 CA 才可以验证您的应用程序。

SSL/TLS 证书安装好后,网站与域名 > 您的域名 > SSL/TLS 证书 屏幕将会显示有关已安装的 SSL/TLS 证书(名称、证书机构、电子邮件地址,等等)、已安全保护的组件和其它选项(”从 http 重定向到 https”、”HSTS”,等等)的信息。

上传 SSL/TLS 证书

以下几种情况,您可能想要上传 SSL/TLS 证书:

  • 您已经有一个用于保护域名安全的证书。
  • 您想要安装无法通过 SSL It! 获取的证书。

若要上传 SSL/TLS 证书,请如下操作:

  1. 转到 网站与域名 > 您的域名 > SSL/TLS 证书 然后点击 上传

    image upload

  2. 找到您要上传的 SSL/TLS 证书的 .pem 文件然后点击 打开

SSL/TLS 证书将自动在域名上安装。

续订更新已安装的 SSL/TLS 证书

为了您的网站能够得到持续有效的安全保护,您需要按时续订更新已安装的 SSL/TLS 证书。SSL It! 扩展会帮助您实现此目的。

SSL It! 会在证书到期前 30 天自动续订更新 Let’s Encrypt 和 DigiCert 免费的 SSL/TLS 证书。

image renew

SSL It! 无法自动续订更新付费的 SSL/TLS 证书。但是您可以执行以下操作:

  • 手动重新签发这些证书。
  • 让 SSL It! 使用 Let’s Encrypt 免费的证书自动替换已到期的 SSL/TLS 证书。

若要重新签发付费的 SSL/TLS 证书,请如下操作:

  1. 转到 网站与域名 > 使用快要到期的付费 SSL/TLS 证书保护安全的域名 > SSL/TLS 证书

  2. 点击 重新签发证书。然后会自动将您重定向到 Plesk 在线商店。

  3. 在 “Plesk在线商店 “的弹出窗口中,填写您的地址、支付信息,然后购买证书。

  4. 关闭弹出窗口。

  5. 等待 Plesk 更新付款状态或通过点击**重新加载**手动将其更新。Plesk每小时自动更新一次付款状态。

    image waiting payment

  6. 付款处理后,点击 填写必填数据

    image payment received

  7. 填写必填联系信息然后点击 确定

Plesk 现在即自动创建证书签名请求 (CSR) 然后接收和安装 SSL/TLS 证书。根据不同类型的 SSL/TLS 证书,可能需要一定时间。您可以点击 重新加载 手动更新 SSL/TLS 证书状态或等候 Plesk 自动将其更新(Plesk 会每小时检查 SSL/TLS 证书状态一次)。

若要使用 Let’s Encrypt 免费的证书自动替换已到期的付费 SSL/TLS 证书,请如下操作:

  1. 转到 网站与域名 > 使用快要到期的付费 SSL/TLS 证书保护安全的域名 > SSL/TLS 证书
  2. 开启 “保护网站的安全”。

现在,当您的付费 SSL/TLS 证书到期时,SSL It! 会自动签发一个 Let’s Encrypt 的免费 SSL/TLS 证书保护属于订阅的域名、子域名、域名别名和 web 邮箱的安全。通常在 SSL/TLS 证书到期后不迟一个小时实现。

取消分配 SSL/TLS 证书

  1. 转到 网站与域名 > 您想要取消分配 SSL/TLS 证书的域名 > SSL/TLS 证书
  2. 点击 取消分配证书 然后点击 确定

增强网站的安全性

只是使用来自可信 CA 的有效 SSL/TLS 证书保护网站的安全无法做到全方位的保护。SSL 是一项复杂的技术,有多个功能(密钥加密算法、OSCP 装订、HSTS 等更多),通过这些功能可以增强网站访客的安全度并提高网站的性能。

启用这些功能可以提高网站的搜索引擎排名:

  • 从 http 重定向到 https会设置永久的、SEO 安全 301 重定向,将网站和/或 web 邮箱从不安全的 HTTP 版永久重定向到安全的 HTTPS 版。
  • HSTS 会禁止 web 浏览器通过不安全的 HTTP 连接访问网站。
  • OSCP 会令 web 服务器从 CA 而不是访客的浏览器请求网站证书的状态(可能是良好、撤销或未知)。

警告: 在开启这些功能前,请确保您的网站可以通过 HTTPS 进行正常访问。否则,访客在访问您的网站时会遇到麻烦。

若要增强网站的安全性,请如下操作:

  1. 使用可信 CA 的有效 SSL/TLS 证书保护网站的安全。

  2. 转到 网站与域名 > 您的域名 > SSL/TLS 证书

  3. 启用 “从 http 重定向到 https”(若尚未启用)。”从 http 重定向到 https” 将同时应用到网站和 web 邮箱。

    注解: 如果您的 web 邮箱尚未使用有效的 SSL/TLS 证书保护或您还没有任何 web 邮箱,请清空 “包括 web 邮箱” 复选框。

  4. 启用 HSTS

    注解: 如果您的 SSL/TLS 证书早于 “Max-age” 期限到期但是您仍想要使用 HSTS,我们建议您启用 “保护网站的安全”。然后当 SSL/TLS 证书到期时,SSL It! 将自动签发 Let’s Encrypt 的免费证书用来保护属于订阅的域名、子域名、域名别名和 web 邮箱。网站将持续得到安全保护且 HSTS 将继续工作运行。

  5. 打开 “OCSP 装订”。

强化了网站的 SSL 的安全性后,则可以对其进行评估。

启用 HSTS

  1. 打开 HSTS。
  2. 请确保保护您网站的 SSL/TLS 证书在”Max-age”时段内有效。对子域名和 web 邮箱子域执行同样的操作。

警告: 如果SSL/TLS证书在 Max-age 时段之前过期,并且 HSTS 已打开,则访问者将无法访问您的网站。

  1. 如果您的子域名未使用有效的 SSL/TLS 证书进行安全保护或者您没有任何子域名,请清空 “包括子域名” 复选框。
  2. 如果您的 web 邮箱子域名尚未使用有效的 SSL/TLS 证书保护或您还没有任何 web 邮箱,请清空 “包括 web 邮箱” 复选框。
  3. 点击 启用 HSTS

已知问题和局限性

  • OCSP 装订只适用于由 nginx 和 Apache 服务或 nginx 单独服务的网站。如果您的网站只由 Apache 服务,则不需要开启 “OCSP 装订”。
  • 如果完整的信任链未就位,OCSP 装订可能无法用于某些供应商的 SSL/TLS 证书(例如 DigiCert 的免费证书)。若要检查您的证书是否支持 OCSP 装订,请在您的 SSL 配置上运行 SSL Labs 测试。

评估网站的 SSL 的安全性

流行的搜索引擎(例如 Google)会给有更好 SSL 保护的网站更高排名。在 SSL It! 扩展中,您可以运行最流行的测试服务,Qualys SSL Labs,以实现:

  • 检查您网站的 SSL 保护有多好。
  • 查看哪些可以提升。
  • 获得 A+,最高评分(必要时强化 SSL 保护后)。

若要评估网站的 SSL 的安全性,请如下操作:

  1. 转到 网站与域名 > 您的域名 > SSL/TLS 证书
  2. 点击 运行 SSL Labs 测试

将在新的标签中打开 Qualys SSL Labs 网站,然后自动开始测试。等测试结束后即可获得您的评分。这可能需要几分钟的时间。

如果您使用可信 CA 的有效 SSL/TLS 证书保护网站的安全,且打开了 SSL It! 提供的所有安全增强功能,最有可能得到 A+ 的评分。