觀看視頻教程

SSL It! 擴展會提供一個介面,通過該介面,可使用由可信的證書機構 (CA) Let’s Encrypt 和 DigiCert(Symantec、GeoTrust 和 RapidSSL 品牌)簽發的 SSL/TLS 證書或任何其它所選的 SSL/TLS 證書保護網站的安全。使用該擴展,您還可以執行以下操作::

  • 通過從 HTTP 重定向到 HTTPS 增強網站訪客的安全度。
  • 通過禁止 web 瀏覽器存取使用 HTTP 不安全連接的網站來保護網站訪客。
  • 使用 OCSP 裝訂保護網站訪客的隱私並提高網站性能。

開始使用 SSL It!

若要管理域名的 SSL/TLS 證書,請轉到 網站與域名 > 您的域名。您可以看到 「SSL/TLS 證書」下域名當前的安全狀態。

image status

使用 SSL/TLS 證書保護網站的安全

通過 SSL It! 擴展,您可以使用免費的和付費的 SSL/TLS 證書(目前只能使用 DigiCert 的證書)以及您已有的 SSL/TLS 證書保護網站的安全。

若要使用 Let’s Encrypt 免費的 SSL/TLS 證書保護網站的安全,請如下操作:

  1. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書

  2. 在 「更多選項」 下,點按 安裝

    image install_button

  3. 指定將用於緊急通知和丟失金鑰恢復的電郵地址。

  4. 選擇除了主域名之外還需保護的域名:

    • 保護主域名的安全。只保護主域名。如果您只想保護 web 郵箱的安全,可以清空該核取方塊。
    • 保護萬用字元域名(包括 www 和 web 郵箱)的安全。保護 www 子域名和/或域名別名和 web 郵箱。
    • 包括域名的一個“www”子域名和每個選定的別名。保護www子域名和/或域名別名。
    • 保護此域名上的 web 郵箱的安全。保護 web 郵箱。
    • 將證書分配給郵件域名。使用IMAP、POP或SMTP協定保護郵件的安全。如果您有www子域名和/或域名別名,請選中**包括域名的“www”子域名和每個選定的別名**核取方塊。
  5. 點按 免費獲取

將會簽發一個 Let’s Encrypt 的 SSL/TLS 證書並自動安裝。

備註: 如果您使用 Let’s Encrypt 的 SSL/TLS 證書保護域名的安全然後向訂閱添加新的域名、子域名、域名別名或 web 郵箱,可重新簽發 Let’s Encrypt 的 SSL/TLS 證書以自動使用 SSL It! 保護它們的安全。具體操作是,轉到 網站與域名 > 您的域名 > SSL/TLS 證書 啟用 「保護網站的安全」 選項。

若要獲取付費的 SSL/TLS 證書,請如下操作:

  1. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書

  2. 若要獲取可用證書的列表,請按一下“獲取證書”:

    image Get_Certificates_Button

  3. 選擇您要購買的SSL/TLS證書,然後按一下證書表單中的**購買**按鈕. .. 注意:

    To find an appropriate certificate, you can do the following:
    
    -   Filter the available certificates. You can apply the "Recommended", "Wildcard", and
        "For organization use" filter sets.
    -   Read more about a certificate (its validity period, validation type, and so on) by
        clicking the **Learn more** button in the certificate’s form.
    
  4. 在Plesk線上商店的快顯視窗中,填寫您的位址、支付資訊,然後購買證書。

  5. 關閉快顯視窗。

  6. 等待 Plesk 更新付款狀態或通過點按**重新載入**手動將其更新。Plesk每小時自動更新一次支付狀態。

    image waiting payment

  7. 付款處理後,點按 填寫必填資料

    image payment received

  8. 填寫必填聯繫資訊然後點按 確定

Plesk 現在即自動創建證書簽名請求 (CSR) 然後接收和安裝 SSL/TLS 證書。根據不同類型的 SSL/TLS 證書,可能需要一定時間。您可以點按 重新載入 手動更新 SSL/TLS 證書狀態或等候 Plesk 自動將其更新(Plesk 會每小時檢查 SSL/TLS 證書狀態一次)。

備註: 某些類型的 SSL/TLS 證書(例如 EV)需要您額外執行一些操作。您可能需要接聽電話或回復電子郵件,同時還需提交必要的檔,這樣 CA 才可以驗證您的應用程式。

SSL/TLS 證書安裝好後,網站與域名 > 您的域名 > SSL/TLS 證書 螢幕將會顯示有關已安裝的 SSL/TLS 證書(名稱、證書機構、電郵地址,等等)、已安全保護的元件和其它選項(」從 http 重定向到 https」、」HSTS」,等等)的資訊。

上傳 SSL/TLS 證書

您已經有一個用於保域名安全的證書。

  • 您已經有一個用于保護域名安全的證書。
  • 您想要安裝無法通過 SSL It! 獲取的證書。

若要上傳 SSL/TLS 證書,請如下操作:

  1. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書 然後點按 上傳

    image upload

  2. 找到您要上傳的 SSL/TLS 證書的 .pem 文件然後點按 打開

SSL/TLS 證書將自動在域名上安裝。

續訂更新已安裝的 SSL/TLS 證書

為了您的網站能夠得到持續有效的安全保護,您需要按時續訂更新已安裝的 SSL/TLS 證書。SSL It! 擴展會幫助您實現此目的。

SSL It! 會在證書到期前 30 天自動續訂更新 Let’s Encrypt 和 DigiCert 免費的 SSL/TLS 證書。

image renew

SSL It! 無法自動續訂更新付費的 SSL/TLS 證書,但是您可以:

  • 手動重新簽發這些證書。
  • 讓 SSL It! 使用 Let’s Encrypt 免費的證書自動替換已到期的 SSL/TLS 證書。

若要重新簽發付費的 SSL/TLS 證書,請如下操作:

  1. 轉到 網站與域名 > 使用快要到期的付費 SSL/TLS 證書保護安全的域名 > SSL/TLS 證書

  2. 點按 重新簽發證書。然後會自動將您重定向到 Plesk 線上商店。

  3. 在」Plesk線上商店」的快顯視窗中,填寫您的位址、支付資訊,然後購買證書。

  4. 關閉快顯視窗。

  5. 等待 Plesk 更新付款狀態或通過點按**重新載入**手動將其更新。Plesk每小時自動更新一次支付狀態。

    image waiting payment

  6. 付款處理後,點按 填寫必填資料

    image payment received

  7. 填寫必填聯繫資訊然後點按 確定

Plesk 現在即自動創建證書簽名請求 (CSR) 然後接收和安裝 SSL/TLS 證書。根據不同類型的 SSL/TLS 證書,可能需要一定時間。您可以點按 重新載入 手動更新 SSL/TLS 證書狀態或等候 Plesk 自動將其更新(Plesk 會每小時檢查 SSL/TLS 證書狀態一次)。

若要使用 Let’s Encrypt 免費的證書自動替換已到期的付費 SSL/TLS 證書,請如下操作:

  1. 轉到 網站與域名 > 使用快要到期的付費 SSL/TLS 證書保護安全的域名 > SSL/TLS 證書
  2. 開啟 「保護網站的安全」。

現在,當您的付費 SSL/TLS 證書到期時,SSL It! 會自動簽發一個 Let’s Encrypt 的免費 SSL/TLS 證書保護屬於訂閱的域名、子域名、域名別名和 web 郵箱的安全。通常在 SSL/TLS 證書到期後不遲一個小時實現。

取消分配 SSL/TLS 證書

  1. 轉到 網站與域名 > 您想要取消分配 SSL/TLS 證書的域名 > SSL/TLS 證書
  2. 點按 取消分配證書 然後點按 確定

增強網站的安全性

只是使用來自可信 CA 的有效 SSL/TLS 證書保護網站的安全無法做到全方位的保護。SSL 是一項複雜的技術,有多個功能(金鑰加密演算法、OSCP 裝訂、HSTS 等更多),通過這些功能可以增強網站訪客的安全度並提高網站的性能。

啟用這些功能可以提高網站的搜尋引擎排名:

  • 從 http 重定向到 https會設定永久的、SEO 安全 301 重定向,將網站和 web 郵箱從不安全的 HTTP 版永久重定向到安全的 HTTPS 版。
  • HSTS 會禁止 web 瀏覽器通過不安全的 HTTP 連接存取網站。
  • OSCP 會令 web 伺服器從 CA 而不是訪客的瀏覽器請求網站證書的狀態(可能是良好、撤銷或未知)。

警示: 在開啟這些功能前,請確保您的網站可以通過 HTTPS 進行存取。否則,訪客在存取您的網站時會遇到麻煩。

若要增強網站的安全性,請如下操作:

  1. 使用可信 CA 的有效 SSL/TLS 證書保護網站的安全。

  2. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書

  3. 啟用 「從 http 重定向到 https」(若尚未啟用)。」從 http 重定向到 https」 將同時應用到網站和 web 郵箱。

    備註: 如果您的 web 郵箱尚未使用有效的 SSL/TLS 證書保護或您還沒有任何 web 郵箱,請清空 「包括 web 郵箱」 核取方塊。

  4. 啟用 HSTS

    備註: 如果您的 SSL/TLS 證書早於 「Max-age」 期限到期但是您仍想要使用 HSTS,我們建議您啟用 「保護網站的安全」。然後當 SSL/TLS 證書到期時,SSL It! 將自動簽發 Let’s Encrypt 的免費證書用來保護屬於訂閱的域名、子域名、域名別名和 web 郵箱。網站將持續得到安全保護且 HSTS 將繼續工作運行。

  5. 打開 「OCSP 裝訂」。

強化了網站的 SSL 的安全性後,則可以對其進行評估。

啟用 HSTS

  1. 打開 HSTS。
  2. 請確保保護您網站的 SSL/TLS 證書在」Max-age」時段內有效。對子域名和 web 郵箱子域名執行同樣的操作。

警告: 如果SSL/TLS證書在 Max-age 時段之前過期,並且 HSTS 已打開,則訪問者將無法存取您的網站。

  1. 如果您的子域名未使用有效的 SSL/TLS 證書進行安全保護或者您沒有任何子域名,請清空 「包括子域名」 核取方塊。
  2. 如果您的 web 郵箱子域名尚未使用有效的 SSL/TLS 證書保護或您還沒有任何 web 郵箱,請清空 「包括 web 郵箱」 核取方塊。
  3. 點按 啟用 HSTS

已知問題和局限性

  • OCSP 裝訂只適用於由 nginx 和 Apache 服務或 nginx 單獨服務的網站。如果您的網站只由 Apache 服務,則不需要開啟 「OCSP 裝訂」。
  • 如果完整的信任鏈未就位,OCSP 裝訂可能無法用於某些供應商的 SSL/TLS 證書(例如 DigiCert 的免費證書)。若要檢查您的證書是否支援 OCSP 裝訂,請在您的 SSL 配置上運行 SSL Labs 測試。

評估網站的 SSL 的安全性

流行的搜尋引擎(例如 Google)會給有更好 SSL 保護的網站更高排名。在 SSL It! 擴展中,您可以運行最流行的測試服務,Qualys SSL Labs,以實現:

  • 檢查您網站的 SSL 保護有多好。
  • 查看哪些可以提升。
  • 獲得 A+,最高評分(必要時強化 SSL 保護後)。

若要評估網站的 SSL 的安全性,請如下操作:

  1. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書
  2. 點按**運行 SSL Labs 測試**。

將在新的標籤中打開 Qualys SSL Labs 網站,然後自動開始測試。等測試結束後即可獲得您的評分。這可能需要幾分鐘的時間。

如果您使用可信 CA 的有效 SSL/TLS 證書保護網站的安全,且打開了 SSL It! 提供的所有安全增強功能,最有可能得到 A+ 的評分。