概要: The SSL It! extension helps you secure hosted websites with both free and paid SSL/TLS certificates.

In this topic, you will learn how to get free SSL/TLS certificates, how to buy paid certificates, how to upload certificates from a file, and how to secure hosted websites with any of those.

You will also learn how to harden the connections to hosted websites, and how to gauge the effectiveness of the SSL protection of hosted websites. If you are a Plesk administrator, you will also learn how to configure what SSL/TLS certificates are available to your customers from the SSL It! interface.

SSL It! 扩展会提供一个界面,通过该界面,可使用由可信的证书机构 (CA) Let’s Encrypt 和 DigiCert(Symantec、GeoTrust 和 RapidSSL 品牌)签发的 SSL/TLS 证书或任何其它所选的 SSL/TLS 证书保护网站的安全。使用该扩展,您还可以执行以下操作:

  • 通过从 HTTP 重定向到 HTTPS 增强网站访客的安全度。
  • 通过禁止 web 浏览器访问使用 HTTP 不安全连接的网站来保护网站访客。
  • 使用 OCSP 装订保护网站访客的隐私并提高网站性能。
  • 让使用 SSL/TLS 证书加密的连接在使用 Mozilla 生成的协议和密码时更安全。

开始使用 SSL It!

请考虑以下因素:

  • SSL It! 扩展默认已安装。
  • 若要利用所有的 SSL It! 功能,请确保还安装了最新版的 DigiCert SSL 和 Let’s Encrypt 扩展。

若要管理域名的 SSL/TLS 证书,请转到 网站与域名 > 您的域名。您可以看到 “SSL/TLS 证书”下域名当前的安全状态。

image domain not secured

使用 SSL/TLS 证书保护网站的安全

With the SSL It! extension you can secure websites with free and paid SSL/TLS certificates (at the moment they are from DigiCert only) and also with SSL/TLS certificates you already own.

若要使用 Let’s Encrypt 免费的 SSL/TLS 证书保护网站的安全,请如下操作:

  1. 转到 网站与域名 > 您的域名 > SSL/TLS 证书

  2. 在 “更多选项” 下,点击 安装

    image install_button

  3. 指定将用于紧急通知和丢失密钥恢复的电子邮件地址。

  4. 选择除了主域名之外还需保护的域名:

    • 保护主域名的安全。只保护主域名。如果您只想保护 web 邮箱的安全,可以清空该复选框。

    • 保护通配符域名(包括 www 和 web 邮箱)的安全。保护 www 子域名和/或域名别名和 web 邮箱。

    • 包括域名的一个“www”子域名和每个选定的别名。保护www子域名和/或域名别名。

    • 保护此域名上的 web 邮箱的安全。保护 web 邮箱。

    • Assign the certificate to the mail domain. Secure the mail server connections for this domain. Useful if the mail server is not protected with an SSL/TLS certificate, or if the certificate securing the mail server cannot be verified.

      If you have the www subdomain and/or domain aliases, we recommend that you also select the Include a “www” subdomain for the domain and each selected alias checkbox.

  5. 点击 免费获取

将会签发一个 Let’s Encrypt 的 SSL/TLS 证书并自动安装。

注解: 如果您使用 Let’s Encrypt 的 SSL/TLS 证书保护域名的安全然后向订阅添加新的域名、子域名、域名别名或 web 邮箱,可重新签发 Let’s Encrypt 的 SSL/TLS 证书以自动使用 SSL It! 保护它们的安全。具体操作是,转到 网站与域名 > 您的域名 > SSL/TLS 证书 启用 保护网站的安全 选项。

若要获取付费的 SSL/TLS 证书,请如下操作:

  1. 转到 网站与域名 > 您的域名 > SSL/TLS 证书

  2. 若要获取可用证书的列表,请单击“获取证书”:

    image Get_Certificates_Button

  3. 选择您要购买的SSL/TLS证书,然后单击证书表单中的购买按钮.

    注解: To find an appropriate certificate, you can do the following:

    • Filter the available certificates. You can apply the Recommended, Wildcard, and For organization use filter sets.
    • Read more about a certificate (its validity period, validation type, and so on) by clicking the Learn more button in the certificate’s form.
  4. 在Plesk在线商店的弹出窗口中,填写您的地址、支付信息,然后购买证书。

  5. 关闭弹出窗口。

  6. 等待 Plesk 更新付款状态或通过点击重新加载手动将其更新。Plesk每小时自动更新一次支付状态。

    image waiting payment

  7. 付款处理后,点击 填写必填数据

    image payment received

  8. 填写必填联系信息然后点击 确定

Plesk 现在即自动创建证书签名请求 (CSR) 然后接收和安装 SSL/TLS 证书。根据不同类型的 SSL/TLS 证书,可能需要一定时间。您可以点击 重新加载 手动更新 SSL/TLS 证书状态或等候 Plesk 自动将其更新(Plesk 会每小时检查 SSL/TLS 证书状态一次)。

注解: 某些类型的 SSL/TLS 证书(例如 EV)需要您额外执行一些操作。您可能需要接听电话或回复电子邮件,同时还需提交必要的文件,这样 CA 才可以验证您的应用程序。

SSL/TLS 证书安装好后,网站与域名 > 您的域名 > SSL/TLS 证书 屏幕将会显示有关已安装的 SSL/TLS 证书(名称、证书机构、电子邮件地址,等等)、已安全保护的组件和其它选项(”从 http 重定向到 https”、”HSTS”,等等)的信息。

通过 CLI 保护网站安全

您还可以通过 CLI 使用通配符 SSL/TLS 证书来保护网站安全。执行以下CLI命令:

plesk ext sslit --certificate -issue -domain <domain_name> -registrationEmail <email> -secure-domain -wildcard

然后

plesk ext sslit --certificate -issue <domain_name> -registrationEmail <email> -continue

第一个命令会创建一个通配符证书订单,而第二个命令会完成订单并签发证书。

上传 SSL/TLS 证书

以下几种情况,您可能想要上传 SSL/TLS 证书:

  • 您已经有一个用于保护域名安全的证书。
  • 您想要安装无法通过 SSL It! 获取的证书。

若要上传 SSL/TLS 证书,请如下操作:

  1. 转到 网站与域名 > 您的域名 > SSL/TLS 证书 然后点击 上传

    image upload

  2. 找到您要上传的 SSL/TLS 证书的 .pem 文件然后点击 打开

SSL/TLS 证书将自动在域名上安装。

续订更新已安装的 SSL/TLS 证书

为了您的网站能够得到持续有效的安全保护,您需要按时续订更新已安装的 SSL/TLS 证书。SSL It! 扩展会帮助您实现此目的。

SSL It! 会在证书到期前 30 天自动续订更新 Let’s Encrypt 和 DigiCert 免费的 SSL/TLS 证书。

image renew

SSL It! 无法自动续订更新付费的 SSL/TLS 证书。但是您可以执行以下操作:

  • 手动重新签发这些证书。
  • 让 SSL It! 使用 Let’s Encrypt 免费的证书自动替换已到期的 SSL/TLS 证书。

若要重新签发付费的 SSL/TLS 证书,请如下操作:

  1. 转到 网站与域名 > 使用快要到期的付费 SSL/TLS 证书保护安全的域名 > SSL/TLS 证书

  2. 点击 重新签发证书。然后会自动将您重定向到 Plesk 在线商店。

  3. 在Plesk在线商店的弹出窗口中,填写您的地址、支付信息,然后购买证书。

  4. 关闭弹出窗口。

  5. 等待 Plesk 更新付款状态或通过点击重新加载手动将其更新。Plesk每小时自动更新一次支付状态。

    image waiting payment

  6. 付款处理后,点击 填写必填数据

    image payment received

  7. 填写必填联系信息然后点击 确定

Plesk 现在即自动创建证书签名请求 (CSR) 然后接收和安装 SSL/TLS 证书。根据不同类型的 SSL/TLS 证书,可能需要一定时间。您可以点击 重新加载 手动更新 SSL/TLS 证书状态或等候 Plesk 自动将其更新(Plesk 会每小时检查 SSL/TLS 证书状态一次)。

若要使用 Let’s Encrypt 免费的证书自动替换已到期的付费 SSL/TLS 证书,请如下操作:

  1. 转到 网站与域名 > 使用快要到期的付费 SSL/TLS 证书保护安全的域名 > SSL/TLS 证书
  2. 开启 保护网站的安全

现在,当您的付费 SSL/TLS 证书到期时,SSL It! 会自动签发一个 Let’s Encrypt 的免费 SSL/TLS 证书保护属于订阅的域名、子域名、域名别名和 web 邮箱的安全。通常在 SSL/TLS 证书到期后不到一个小时自动实现。

取消分配 SSL/TLS 证书

  1. 转到 网站与域名 > 您想要取消分配 SSL/TLS 证书的域名 > SSL/TLS 证书
  2. 点击 取消分配证书 然后点击 确定

增强网站和已加密服务器连接的安全性

仅仅使用来自可信 CA 的有效 SSL 证书保护网站的安全不足以获得全面的保护。SSL 是一种复杂的技术,有很多功能(密钥加密算法、安全密码、HSTS,等等),这些功能可以:

  • 增强网站访客的安全性。
  • 提高网站性能。
  • 强化所有服务器加密连接的安全性

启用这些功能可以提高网站的搜索引擎排名:

  • 从 http 重定向到 https会设置永久的、SEO 安全 301 重定向,将网站和 web 邮箱从不安全的 HTTP 版永久重定向到安全的 HTTPS 版。
  • HSTS 会禁止 web 浏览器通过不安全的 HTTP 连接访问网站。
  • OSCP 会令 web 服务器从 CA 而不是访客的浏览器请求网站证书的状态(可以是良好、撤销或未知)。
  • Mozilla 支持的 TLS 版本和密码强化了 SSL/TLS 证书保护的连接(网站、邮件、Plesk,等等)。

警告: 在开启这些功能前,请确保您的网站可以通过 HTTPS 进行访问。否则,访客在访问您的网站时会遇到麻烦。

注解: 如果您已手动在您的 web 服务器中设置了 HSTS 或 OCSP 装订,请在 SSL It!.中打开 HSTS or OCSP 装订之前删除这些自定义设置。

若要增强网站和已加密服务器连接的安全性,请如下操作:

  1. 使用可信 CA 的有效 SSL/TLS 证书保护网站的安全。

  2. 转到 网站与域名 > 您的域名 > SSL/TLS 证书

  3. 如果您已从 Plesk 早期版本升级到 Plesk Obsidian,请打开 从 http 重定向到 https。默认此重定向也将会应用于 web 邮箱。在 Plesk Obsidian 干净的安装实例上,默认已为域名和 web 邮箱打开重定向。

    注解: 如果您的web邮箱没有有效的SSL/TLS证书保护,或者您没有任何web邮箱,请单击滑块图标,清空**应用到web邮箱**复选框,然后单击**应用**。

  4. 启用 HSTS

    注解: 如果您的 SSL/TLS 证书早于 Max-age 期限到期但是您仍想要使用 HSTS,我们建议您启用 “保护网站的安全”。然后当 SSL/TLS 证书到期时,SSL It! 将自动签发 Let’s Encrypt 的免费证书用来保护属于订阅的域名、子域名、域名别名和 web 邮箱。网站将持续得到安全保护且 HSTS 将继续工作运行。

  5. 打开 OCSP 装订

  6. 启用 Mozilla 支持的 TLS 版本和密码

一旦强化了网站和服务器的 SSL 安全性,即可评估网站的 SSL 安全性。

注解: 您还可以通过 CLI 启用 HSTS 和 OCSP。例如,若要为已经使用 SSL/TLS 证书保护安全的域名 example.com 启用 HSTS,请运行以下命令:

plesk ext sslit --hsts -enable -domain example.com -max-age 6months

若要为同一域名启用OCSP,请运行以下命令:

plesk ext sslit --ocsp-stapling -enable -domain example.com

若要了解通过 CLI 使用 SSL It! 的信息,请运行 plesk ext sslit --help 命令。

启用 HSTS

  1. 打开 HSTS。

  2. 请确保保护您网站的 SSL/TLS 证书在Max-age时段内有效。对子域名和 web 邮箱子域执行同样的操作。

    警告: 如果SSL/TLS证书在 Max-age 时段之前过期,并且 HSTS 已打开,则访问者将无法访问您的网站。

  3. 如果您的子域名未使用有效的 SSL/TLS 证书进行安全保护或者您没有任何子域名,请清空 包括子域名 复选框。

  4. 如果您的 web 邮箱子域名尚未使用有效的 SSL/TLS 证书保护或您还没有任何 web 邮箱,请清空 包括 web 邮箱 复选框。

  5. 点击 启用 HSTS

启用 Mozilla 支持的 TLS 版本和密码

  1. 转到 扩展 > 我的扩展**标签 > 点击 SSL It! 旁的 **打开
  2. 单击 设置
  3. Mozilla 支持的 TLS 版本和密码下,开启切换。
  4. 保留 中间(推荐),然后点击 启用并同步
  5. 若要保持当前状态,请每隔几个月点击 即刻同步 一次。

已知问题和局限性

  • OCSP 装订只适用于由 nginx 和 Apache 服务或 nginx 单独服务的网站。如果您的网站只由 Apache 服务,则不需要开启 “OCSP 装订”。
  • 如果完整的信任链未就位,OCSP 装订可能无法用于某些供应商的 SSL/TLS 证书(例如 DigiCert 的免费证书)。若要检查您的证书是否支持 OCSP 装订,请在您的 SSL 配置上运行 SSL Labs 测试。
  • 目前还不支持自动同步 Mozilla 提供的 TLS 版本和密码。

评估网站的 SSL 的安全性

流行的搜索引擎(例如 Google)会给有更好 SSL 保护的网站更高排名。在 SSL It! 扩展中,您可以运行最流行的测试服务,Qualys SSL Labs,以实现:

  • 检查您网站的 SSL 保护有多好。
  • 查看哪些可以提升。
  • 获得 A+,最高评分(必要时强化 SSL 保护后)。

若要评估网站的 SSL 的安全性,请如下操作:

  1. 转到 网站与域名 > 您的域名 > SSL/TLS 证书
  2. 点击 运行 SSL Labs 测试

将在新的标签中打开 Qualys SSL Labs 网站,然后自动开始测试。等测试结束后即可获得您的评分。这可能需要几分钟的时间。

如果您使用可信 CA 的有效 SSL/TLS 证书保护网站的安全,且打开了 SSL It! 提供的所有安全增强功能,最有可能得到 A+ 的评分。

自定义 SSL It! 提供的 SSL/TLS 证书列表

SSL It! 使从各种供应商处订购SSL/TLS证书成为可能。您可以选择您、您的客户和代理商在 SSL It! 界面中可见哪些证书。通过安装(启用)或移除(禁用)SSL It! 插件来完成此操作,促成 SSL It! 和某个特定供应商整合。

添加从特定供应商订购SSL/TLS证书的功能:

  1. 转到扩展,并在搜索字段中键入与所需供应商对应的插件扩展的名称。
  2. 安装扩展。如果扩展已经安装,请确保没有将其禁用,并在必要时将其启用。

您、您的客户和代理商将只能在 SSL It! 界面中看到该供应商出售的证书。

移除从特定供应商订购SSL/TLS证书的功能:

  1. 转到扩展>我的扩展,并找到与所需供应商对应的插件扩展。
  2. 移除或禁用扩展。

您、您的客户和代理商将不能在 SSL It! 界面中看到该供应商销售的证书!这不会影响到已经从该供应商购买了SSL/TLS证书的客户。

SSL It! 提高了证书签发的概率

SSL It! 有一个默认功能,会大幅度降低因域名配置不兼容而导致无法签发 Let’s Encrypt SSL/TLS 证书的情况的发生。

当您从 Let’s Encrypt 获取 SSL/TLS 证书时,其服务器需要验证您是否掌控证书中的域名。具体实现方式是,Let’s Encrypt 会使用 “challenges”:Let’s Encrypt 会给予一个 Plesk 放置于 http://<your_domain>/.well-known/acme-challenge/<token> 中的令牌文件。我们称此目录为通用 challenge 目录。如此目录无法访问,则会导致证书签发失败。此情况可能会因以下配置产生:

安装时,即使检测到了某些不兼容的配置 SSL It! 也会确保支持并可访问通用 challenge 目录。Plesk for Linux 和 Plesk for Windows 中默认启用 “通用 challenge 目录支持”功能。

如果需要,您可以运行以下命令通过 CLI 关闭该功能:

plesk ext sslit --common-challenge-dir –disable

但是,我们建议保持开启“通用 challenge 目录支持”功能。

若您已从更早的版本更新到 SSL It! 1.4.0,将会自动开启“通用 challenge 目录支持”,除非在 panel.ini 中禁用了 use-common-challenge-dir 设置。如果禁用了该选项,则需要运行以下命令手动开启此支持:

plesk ext sslit --common-challenge-dir –enable

自 SSL It! 1.4.0 版本起 use-common-challenge-dir 设置已弃用。

防止客户尝试签发通配符Let’s Encrypt 证书失败

默认情况下,签发通配符Let’s Encrypt 证书适用于客户拥有的所有域名。但是,根据域名的DNS配置,签发可能会成功或失败。在 SSL It! 中,您可以为不能使用这些证书自动保护的域名隐藏签发通配符Let’s Encrypt 证书的功能。

SSL It! 只能为将 Plesk 用作主控 DNS 服务器的域名或与 Plesk同步的第三方 DNS 服务自动签发通配符 Let’s Encrypt 证书。如果DNS服务没有与Plesk同步,SSL It! 无法使用通配符Let’s Encrypt 证书保护域名安全。客户尝试签发通配符Let’s Encrypt证书必然会失败,这样会导致产生客户支持工单。为了减少支持工作负担,您可以为其DNS记录不在Plesk中托管的域名隐藏签发通配符Let’s Encrypt 的功能。

为了防止客户尝试签发通配符Let’s Encrypt 证书失败,请如下操作:

  1. 转到 扩展 > “我的扩展”标签 > 点击 SSL It! 旁的 打开

  2. 在屏幕的顶部,点击“设置”,然后选择“具有指定域名服务器的域名”。

  3. 在下面的文本框中,指定其DNS记录在Plesk中托管的域名或与Plesk同步的第三方DNS服务(DigitalOcean DNS、Amazon Route 53 或 Azure DNS)中的域名服务器。

    用逗号分隔不同的域名服务器。要指定其DNS记录在Plesk中托管的所有域名的域名服务器,您可以使用``<domain>``占位符:

    ns1.<domain>, ns2.<domain>
    
  4. 单击 保存

image wildcard nameservers

客户现在只能为可以自动保护安全的域名签发通配符 Let’s Encrypt 证书。

您还可以通过 CLI 隐藏签发通配符Let’s Encrypt证书的功能。为此,请运行以下模式的命令:

plesk ext sslit --wildcard-configuration -enable –nameservers 'ns1.<domain>,ns2.<domain>'

若要查看更多详情,请运行 plesk ext sslit --help 命令。

限制订购付费 SSL/TLS 证书的功能

这可能会限制客户从某些供应商订购付费 SSL/TLS 证书的功能,或会隐藏“获取证书”按钮。客户仍然可以使用 Let’s Encrypt 的 SSL/TLS 证书来保护其网站的安全。

限制从一个或多个供应商订购付费 SSL/TLS 证书的功能:

  1. 打开用于编辑的 “panel.ini” 文件

  2. 在 “[extensions]” 下,添加以下行:

    blacklist = <comma-separated list of IDs of SSL It! plugin extensions>
    

    例如,若要限制从 Symantec (DigiCert) 订购SSL/TLS证书的功能,请添加以下几行:

    [extensions]
    blacklist = symantec
    

限制从某个供应商订购付费的SSL/TLS证书的功能,将不会影响到已经从该供应商购买了SSL/TLS证书的客户。要恢复从供应商处订购付费 SSL/TLS 证书的功能,请通过再次编辑panel.ini文件从黑名单移除相应 SSL It! 插件扩展的 ID。

隐藏 “获取证书” 按钮:

  1. 打开用于编辑的 “panel.ini” 文件

  2. [ext-sslit]下,添加以下行:

    showGetMoreCertificatesLink = false
    

隐藏“获取证书”按钮将不会影响已经购买了SSL/TLS证书的客户,也不会影响客户使用Let’s Encrypt 的 SSL/TLS证书保护其网站安全的功能。此外,如果在服务器上安装了Sectigo扩展,客户将能够从Sectigo订购付费证书,尽管“获取证书”按钮已被隐藏。要使按钮可见,请通过再次编辑panel.ini文件来移除该行。