云计算代理商：阿里云免费 SSL 证书申请与一键部署 HTTPS 详细教程！

每天看着自己网站浏览器的地址栏显示“不安全”三个字，不仅心里膈应，还会直接影响网站的 SEO 排名，甚至被部分浏览器直接拦截。

现在的网站，HTTPS 早已是标配。

很多人以为搞定 HTTPS（也就是 SSL 证书）很贵、很麻烦。其实，阿里云每年都会给每个账号提供免费的 SSL 证书额度，而且配合阿里云的控制台，基本可以做到“一键部署”。

今天这篇教程不聊复杂的密码学原理，只上干货。手把手带你申请免费证书、一键部署到阿里云产品，以及手动配置到自己服务器上。全流程走完，最多 10 分钟。

准备工作：你需要具备什么？

在开始之前，请确保你满足以下两个条件：

1. 拥有一个阿里云账号，且该账号已经通过了实名认证。
2. 拥有一个域名。如果域名在大陆境内的服务器上使用，必须已经完成 ICP 备案。

第一步：寻找并申请阿里云免费 SSL 证书

阿里云的免费证书入口藏得比较深（毕竟人家也想卖付费的），按照下面的步骤找，别点错了。

1. 找到证书购买页

• 登录阿里云控制台，在顶部搜索框输入 “数字证书管理服务”（英文简称 SSL），点击进入。
• 在左侧导航栏，点击 “SSL 证书” $\rightarrow$ “免费证书”。
• 点击页面中的 “立即购买”（或者“创建证书”）。

2. 勾选“免费额度”

在购买页面，你会看到各种几千块一年的证书。不要慌，按以下选项勾选：

• 商品类型：选择 “云盾证书资源包”。
• 资源包规格：选择 “免费证书（单个域名）”。
• 购买数量：默认会赠送你 20 个 额度（每年都会刷新），直接点击立即购买。

💰 放心： 此时订单金额显示为 0 元。直接确认支付即可，不需要掏一分钱。

3. 提交证书申请

买完资源包后，回到“免费证书”页面，你会看到有了“20”个可用证书额度。

• 点击 “创建证书”，此时列表中会出现一条“待申请”的证书记录。
• 点击该记录右侧的 “申请证书”。
• 在右侧弹出的表单中填入你的信息：

证书绑定域名：填写你的具体域名，比如 www.yourname.com 或 blog.yourname.com。

• 注意：免费证书不支持泛域名（如 *.yourname.com），一个证书只能绑定一个特定的子域名。域名验证方式：强烈建议选择 “自动DNS验证”（如果你的域名也在当前阿里云账号下，系统会自动帮你添加解析记录，省时省力）。联系人信息、算法：默认即可（算法选 RSA）。
• 点击 “下一步”，然后点击 “提交审核”。

一般情况下，因为是自动 DNS 验证，只需要等待 1~3 分钟，证书就会下发，状态变更为“已签发”。

第二步：如果你用的是阿里云云产品（一键部署）

如果你的网站托管在阿里云的 云服务器 ECS、云虚拟主机、应用高可用轻量服务器、轻量应用服务器 或者是通过 CDN、OSS、ALB（应用型负载均衡） 转发的，恭喜你，部署极其简单。

以轻量应用服务器/云虚拟主机为例：

1. 在“数字证书管理服务”的“免费证书”列表中，找到你刚刚签发的证书。
2. 点击右侧的 “快捷部署”。
3. 在弹出的云产品列表中，选择你正在使用的服务（例如：轻量应用服务器）。
4. 选择对应的服务器实例和资源，点击 “确定”。

阿里云会在后台自动把证书上传并配置到你的云产品中，你甚至不需要登录服务器。

第三步：如果是独立服务器，如何手动部署？

如果你的服务器是自己装的纯净系统，或者用的是宝塔面板、LNMP 脚本，你需要把证书下载到本地，再手动上传配置。

在证书列表右侧点击 “下载”，在弹出的服务器类型中，根据你服务器搭建的环境（Nginx、Apache、Tomcat、IIS）选择下载。国内互联网建站，90% 用的都是 Nginx。 我们以 Nginx 为例。

下载解压后，你会得到两个文件：

xxxxx.pem（证书文件）

xxxxx.key（私钥文件，千万不要泄露给别人）

场景 A：使用宝塔面板（最推荐，极简）

如果你用了宝塔面板，完全不需要动代码：

1. 登录宝塔面板，点击左侧 “网站”。
2. 找到你的网站，点击右侧的 “设置”。
3. 在左侧菜单找到 “SSL”，选择 “其他证书” 选项卡。
4. 用记事本打开你下载的 .key 文件，把内容复制到左边的“密钥(KEY)”框里。
5. 用记事本打开 .pem 文件，把内容复制到右边的“证书(PEM)”框里。
6. 点击 “保存”。

记得勾选右上角的 “强制HTTPS”，这样用户输入http://

也会自动跳转到安全的 https://

场景 B：原生 Nginx 手动修改代码（适合极客）

如果你是直接用 SSH 连接服务器修改 Nginx 配置，请按以下步骤操作：

1. 上传证书

在服务器的 /etc/nginx/ 目录下（或者你的 Nginx 配置目录下）创建一个叫 cert 的文件夹，把你下载的 xxxx.pem 和 xxxx.key 上传进去。

2. 修改配置文件

打开你的网站 Nginx 配置文件（如 /etc/nginx/conf.d/mywebsite.conf），将原有的 80 端口监听修改或增加 443 端口监听。

标准且安全的 Nginx 配置模板如下：

3. 测试并重启 Nginx

修改完成后，在终端执行以下命令：

Bash

# 检查 Nginx 配置文件是否有语法错误
nginx -t

如果显示 syntax is ok 和 test is successful，说明配置没问题。接着运行重载命令让配置生效：

Bash

nginx -s reload

避坑指南：部署后可能遇到的问题

如果配置完了，访问域名还是提示“不安全”或者网页打不开，通常是以下三个原因，逐一排查：

1. 云服务器“安全组”没开 443 端口 这是最常见的疏忽。HTTPS 走的是 443 端口。你必须登录阿里云控制台，找到你的服务器，在“安全组规则”里添加一条“入方向”规则，放行 443 端口。如果你安装了宝塔，宝塔的“安全”菜单里也要放行 443 端口。
2. 浏览器缓存作祟 有时候配置已经生效，但本地浏览器记录了旧的 HTTP 状态。按 Ctrl + F5 强制刷新，或者开一个浏览器的“无痕模式/隐身模式”再次访问试试。
3. “混合内容（Mixed Content）”导致锁头不绿 如果能通过 HTTPS 访问，但地址栏的锁头是灰色的，或者提示“并非完全安全”。这意味着你的网页代码里，包含了死地址的http:// 图片、JS 脚本或 CSS 样式表。把代码里的http:// 改成https://,或者改成相对路径即可。

总结

阿里云的免费证书有效期通常为 3个月（这是全球证书颁发机构为了安全做出的新规范）。

💡 大白话提醒： 证书到期前 30 天内，阿里云会给你发短信。到时候你只需要登录控制台，重复本文第一步的“申请”动作，然后把新证书下载下来替换掉老文件（或者再次点快捷部署），重启一下 Nginx 即可。

不需要花一分钱，几分钟就能让你的网站披上安全的“防弹衣”，赶紧去试试吧！