概要: SSL/TLS 证书通过加密客户端和服务器间的连接来保护敏感数据。为了提高安全性,在 Plesk 安装过程中,Plesk 和邮件服务器会自动使用 Let’s Encrypt 的免费 SSL/TLS 证书进行安全保护。

In this topic you will learn how to manually secure both Plesk and the Plesk mail server with a free SSL/TLS certificate from Let’s Encrypt, an SSL/TLS certificate purchased from a certificate authority, or a self-signed SSL/TLS certificate.

在大多数情况下,您无需任何操作,此功能都能够给您高安全性,让您安心。即使 服务器没有可解析的主机名Plesk 都能够签发 Let’s Encrypt 的 SSL/TLS 证书。但是可能会发生一些小故障。

如果出于某些原因,未签发 Let’s Encrypt 的 SSL/TLS 证书,Plesk 和邮件服务器都将自动受到自签名 SSL/TLS 证书的安全保护。自签名 SSL/TLS 证书会加密连接并保护敏感数据不被截获。但是自签名的 SSL/TLS 证书有一个缺点。任何人访问使用自签名 SSL/TLS 证书保护的 Plesk 服务器都会看到一条警告信息,告诉他们网站不可信。这样可能会引起客户的担忧。为了避免该问题的出现,我们建议手动使用免费的 Let’s Encrypt SSL/TLS 证书或购自证书机构的 SSL/TLS 证书来保护 Plesk 和 Plesk 邮件服务器的安全。

使用 Let’s Encrypt 证书保护 Plesk 和邮件服务器的安全

Let’s Encrypt 是一个开放性证书机构,能够提供免费的 SSL/TLS 证书。

在 Plesk 安装过程中,Plesk 和邮件服务器会自动受到 Let’s Encrypt 的免费 SSL/TLS 证书的安全保护。如出于某些原因,没有实现自动保护,我们建议您手动使用 Let’s Encrypt 证书保护 Plesk 和邮件服务器的安全。

若要使用 Let’s Encrypt 的证书保护 Plesk 和邮件服务器的安全,请如下操作:

  1. 请确保安装了 Let’s Encrypt 扩展

  2. 转入 工具与设置 > SSL/TLS 证书 (在 “安全” 下)。

  3. 点击 + Let’s Encrypt 按钮。

  4. 请务必确保在”电子邮件地址”栏中填入的邮箱地址是正确的。该邮箱地址将用于发送重要的通知信息。

  5. 点击 重新签发

    到此步骤,则已生成 Let’s Encrypt 的证书,并自动使用该证书保护 Plesk 的安全。

  6. 若要保护邮件服务器的安全,请点击”用于保护邮件安全的证书“旁边的 [更改] 链接。

  7. 从下拉框列表中选择 “Let’s Encrypt 证书(服务器池)” ,然后点击 确定

现在 Plesk 和 Plesk 邮件服务器则都受到了 Let’s Encrypt 证书的保护。

image certificates in use

注解: 在 Plesk for Linux 中,当 Let’s Encrypt 替换默认的自签名证书时,在 工具与设置 > SSL/TLS 证书 中,用于保护 Plesk 安全的证书名称则被更改为 “Let’s Encrypt 证书”。在 Plesk for Windows 中,只有在浏览器中重新加载 工具与设置 > SSL/TLS 证书 后默认的证书名称才会被更改为 “Let’s Encrypt 证书”。

注解: 您一旦使用了 SSL/TLS 证书保护邮件服务器的安全,请务必确保使用以下方式访问邮件:

否则,邮件客户端软件可能无法核实会在收发邮件时引发错误的邮件服务器的身份。

使用其它证书机构的证书保护 Plesk 和邮件服务器的安全

在 Plesk 安装过程中,Plesk 和邮件服务器会自动受到 Let’s Encrypt 的免费 SSL/TLS 证书的安全保护。如出于某些原因,没有实现自动保护,我们建议您手动选用某证书机构的 SSL/TLS 证书保护 Plesk 和邮件服务器的安全。

若要使用其它证书机构的证书保护 Plesk 和邮件服务器的安全,请如下操作:

  1. 转到 工具与设置 > SSL/TLS 证书(在“安全性”下)点击 + 添加 按钮。

  2. 填写标有星号的字段。请特别注意下面各个字段:

    • “证书名称” 给证书起一个辨识度高的名称,以与服务器库中的其它证书相区别。
    • “比特” 比特数越多,证书越安全。我们建议使用默认值 (4096)。
    • “域名”  请务必确保在该字段中填入的名称与服务器主机名相匹配。

  3. 如果所有填入的信息都准确无误,请点击 请求

    Plesk 将生成一个私钥和证书签名请求,并将其在 “服务器池中的证书列表” 下显示。

  4. 在 “服务器池中的证书列表” 下找到证书并点击其名称。即会打开显示该证书属性的页面。

  5. 复制 “CSR” 部分的所有内容(包括 -----BEGIN CERTIFICATE REQUEST----------END CERTIFICATE REQUEST-----)到剪切板。

  6. 访问您所选的证书机构的网站并开始订购证书。当提示您提供 CSR 时,请从剪切板粘贴数据。证书机构将会根据您提供的信息创建 SSL/TLS 证书。接收到 SSL/TLS 证书后,请将其保存到本机或本地网络上。

  7. 进入 工具与设置 > SSL/TLS 证书 ,点击 选择文件 (在 “在此处上传证书” 下),选择已保存的 .crt 文件,然后点击 上传证书

  8. 若要保护 Plesk 的安全,请点击 “用于保护 Plesk 安全的证书” 旁的 [更改] 链接。从下拉列表中选择在第 3 步骤中生成的证书,然后点击 确定

  9. 若要保护邮件服务器的安全,请在 “用于保护邮件安全的证书” 旁重复上一个步骤。

注解: 您一旦使用了 SSL/TLS 证书保护邮件服务器的安全,请务必确保使用以下方式访问邮件:

否则,邮件客户端软件可能无法核实会在收发邮件时引发错误的邮件服务器的身份。

使用自签名证书保护 Plesk 和邮件服务器的安全

如我们之前所说,最好使用 Let’s Encrypt 的 SSL/TLS 证书和其它证书机构的付费证书。但是,您可能需要使用自签名 SSL/TLS 证书保护 Plesk 和邮件服务器的安全,例如证书机构签发的证书到期了的时候。

若要使用自签名证书保护 Plesk 和邮件服务器的安全,请如下操作:

  1. 转到 工具与设置 > SSL/TLS 证书(在“安全性”下)点击 + 添加 按钮。
  2. 填写标有星号的字段。请特别注意下面各个字段:
    • “证书名称” 给证书起一个辨识度高的名称,以与服务器库中的其它证书相区别。
    • “比特” 比特数越多,证书越安全。我们建议使用默认值 (4096)。
    • “域名”  请务必确保在该字段中填入的名称与服务器主机名相匹配。
  3. 如果所有填入的信息都准确无误,请点击 自签名 。Plesk 将会生成一个自签名证书,且会在 “服务器池中的证书列表” 下显示。
  4. 若要保护 Plesk 的安全,请点击“用于保护 Plesk 的安全的证书”旁的 [更改] 链接。从下拉列表中选择之前步骤中生成的证书,然后点击 确定
  5. 若要保护邮件服务器的安全,请在 “用于保护邮件安全的证书” 旁重复上一个步骤。