觀看視頻教程

SSL It! 擴展會提供一個介面,通過該介面,可使用由可信的證書機構 (CA) Let’s Encrypt 和 DigiCert(Symantec、GeoTrust 和 RapidSSL 品牌)簽發的 SSL/TLS 證書或任何其它所選的 SSL/TLS 證書保護網站的安全。使用該擴展,您還可以執行以下操作::

  • 通過從 HTTP 重定向到 HTTPS 增強網站訪客的安全度。
  • 通過禁止 web 瀏覽器存取使用 HTTP 不安全連接的網站來保護網站訪客。
  • 使用 OCSP 裝訂保護網站訪客的隱私並提高網站性能。

開始使用 SSL It!

若要管理域名的 SSL/TLS 證書,請轉到 網站與域名 > 您的域名。您可以看到 「SSL/TLS 證書」下域名當前的安全狀態。

image status

使用 SSL/TLS 證書保護網站的安全

通過 SSL It! 擴展,您可以使用免費的和付費的 SSL/TLS 證書(目前只能使用 DigiCert 的證書)以及您已有的 SSL/TLS 證書保護網站的安全。

若要使用 Let’s Encrypt 免費的 SSL/TLS 證書保護網站的安全,請如下操作:

  1. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書

  2. 在 「更多選項」 下,點按 安裝

    image install_button

  3. 指定將用於緊急通知和丟失金鑰恢復的電郵地址。

  4. 選擇除了主域名之外還需保護的域名:

    • 保護主域名的安全。只保護主域名。如果您只想保護 web 郵箱的安全,可以清空該核取方塊。
    • 保護萬用字元域名(包括 www 和 web 郵箱)的安全。保護 www 子域名和/或域名別名和 web 郵箱。
    • 包括域名的一個“www”子域名和每個選定的別名。保護www子域名和/或域名別名。
    • 保護此域名上的 web 郵箱的安全。保護 web 郵箱。
    • 將證書分配給郵件域名。使用IMAP、POP或SMTP協定保護郵件的安全。如果您有www子域名和/或域名別名,請選中包括域名的“www”子域名和每個選定的別名核取方塊。

  5. 點按 免費獲取

將會簽發一個 Let’s Encrypt 的 SSL/TLS 證書並自動安裝。

備註: 如果您使用 Let’s Encrypt 的 SSL/TLS 證書保護域名的安全然後向訂閱添加新的域名、子域名、域名別名或 web 郵箱,可重新簽發 Let’s Encrypt 的 SSL/TLS 證書以自動使用 SSL It! 保護它們的安全。具體操作是,轉到 網站與域名 > 您的域名 > SSL/TLS 證書 啟用 「保護網站的安全」 選項。

若要獲取付費的 SSL/TLS 證書,請如下操作:

  1. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書

  2. 若要獲取可用證書的列表,請按一下“獲取證書”:

    image Get_Certificates_Button

  3. 選擇您要購買的SSL/TLS證書,然後按一下證書表單中的購買按鈕. .. 注意:

    To find an appropriate certificate, you can do the following:

-   Filter the available certificates. You can apply the "Recommended", "Wildcard", and
    "For organization use" filter sets.
-   Read more about a certificate (its validity period, validation type, and so on) by
    clicking the **Learn more** button in the certificate’s form.

  4. 在Plesk線上商店的快顯視窗中,填寫您的位址、支付資訊,然後購買證書。

  5. 關閉快顯視窗。

  6. 等待 Plesk 更新付款狀態或通過點按重新載入手動將其更新。Plesk每小時自動更新一次支付狀態。

    image waiting payment

  7. 付款處理後,點按 填寫必填資料

    image payment received

  8. 填寫必填聯繫資訊然後點按 確定

Plesk 現在即自動創建證書簽名請求 (CSR) 然後接收和安裝 SSL/TLS 證書。根據不同類型的 SSL/TLS 證書,可能需要一定時間。您可以點按 重新載入 手動更新 SSL/TLS 證書狀態或等候 Plesk 自動將其更新(Plesk 會每小時檢查 SSL/TLS 證書狀態一次)。

備註: 某些類型的 SSL/TLS 證書(例如 EV)需要您額外執行一些操作。您可能需要接聽電話或回復電子郵件,同時還需提交必要的檔,這樣 CA 才可以驗證您的應用程式。

SSL/TLS 證書安裝好後,網站與域名 > 您的域名 > SSL/TLS 證書 螢幕將會顯示有關已安裝的 SSL/TLS 證書(名稱、證書機構、電郵地址,等等)、已安全保護的元件和其它選項(」從 http 重定向到 https」、」HSTS」,等等)的資訊。

上傳 SSL/TLS 證書

您已經有一個用於保域名安全的證書。

  • 您已經有一個用于保護域名安全的證書。
  • 您想要安裝無法通過 SSL It! 獲取的證書。

若要上傳 SSL/TLS 證書,請如下操作:

  1. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書 然後點按 上傳

    image upload

  2. 找到您要上傳的 SSL/TLS 證書的 .pem 文件然後點按 打開

SSL/TLS 證書將自動在域名上安裝。

續訂更新已安裝的 SSL/TLS 證書

為了您的網站能夠得到持續有效的安全保護,您需要按時續訂更新已安裝的 SSL/TLS 證書。SSL It! 擴展會幫助您實現此目的。

SSL It! 會在證書到期前 30 天自動續訂更新 Let’s Encrypt 和 DigiCert 免費的 SSL/TLS 證書。

image renew

SSL It! 無法自動續訂更新付費的 SSL/TLS 證書,但是您可以:

  • 手動重新簽發這些證書。
  • 讓 SSL It! 使用 Let’s Encrypt 免費的證書自動替換已到期的 SSL/TLS 證書。

若要重新簽發付費的 SSL/TLS 證書,請如下操作:

  1. 轉到 網站與域名 > 使用快要到期的付費 SSL/TLS 證書保護安全的域名 > SSL/TLS 證書

  2. 點按 重新簽發證書。然後會自動將您重定向到 Plesk 線上商店。

  3. 在」Plesk線上商店」的快顯視窗中,填寫您的位址、支付資訊,然後購買證書。

  4. 關閉快顯視窗。

  5. 等待 Plesk 更新付款狀態或通過點按重新載入手動將其更新。Plesk每小時自動更新一次支付狀態。

    image waiting payment

  6. 付款處理後,點按 填寫必填資料

    image payment received

  7. 填寫必填聯繫資訊然後點按 確定

Plesk 現在即自動創建證書簽名請求 (CSR) 然後接收和安裝 SSL/TLS 證書。根據不同類型的 SSL/TLS 證書,可能需要一定時間。您可以點按 重新載入 手動更新 SSL/TLS 證書狀態或等候 Plesk 自動將其更新(Plesk 會每小時檢查 SSL/TLS 證書狀態一次)。

若要使用 Let’s Encrypt 免費的證書自動替換已到期的付費 SSL/TLS 證書,請如下操作:

  1. 轉到 網站與域名 > 使用快要到期的付費 SSL/TLS 證書保護安全的域名 > SSL/TLS 證書
  2. 開啟 「保護網站的安全」。

現在,當您的付費 SSL/TLS 證書到期時,SSL It! 會自動簽發一個 Let’s Encrypt 的免費 SSL/TLS 證書保護屬於訂閱的域名、子域名、域名別名和 web 郵箱的安全。通常在 SSL/TLS 證書到期後不遲一個小時實現。

取消分配 SSL/TLS 證書

  1. 轉到 網站與域名 > 您想要取消分配 SSL/TLS 證書的域名 > SSL/TLS 證書
  2. 點按 取消分配證書 然後點按 確定

增強網站的安全性

只是使用來自可信 CA 的有效 SSL/TLS 證書保護網站的安全無法做到全方位的保護。SSL 是一項複雜的技術,有多個功能(金鑰加密演算法、OSCP 裝訂、HSTS 等更多),通過這些功能可以增強網站訪客的安全度並提高網站的性能。

啟用這些功能可以提高網站的搜尋引擎排名:

  • 從 http 重定向到 https會設定永久的、SEO 安全 301 重定向,將網站和 web 郵箱從不安全的 HTTP 版永久重定向到安全的 HTTPS 版。
  • HSTS 會禁止 web 瀏覽器通過不安全的 HTTP 連接存取網站。
  • OSCP 會令 web 伺服器從 CA 而不是訪客的瀏覽器請求網站證書的狀態(可能是良好、撤銷或未知)。

警示: 在開啟這些功能前,請確保您的網站可以通過 HTTPS 進行存取。否則,訪客在存取您的網站時會遇到麻煩。

若要增強網站的安全性,請如下操作:

  1. 使用可信 CA 的有效 SSL/TLS 證書保護網站的安全。

  2. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書

  3. 啟用 「從 http 重定向到 https」(若尚未啟用)。」從 http 重定向到 https」 將同時應用到網站和 web 郵箱。

    備註: 如果您的 web 郵箱尚未使用有效的 SSL/TLS 證書保護或您還沒有任何 web 郵箱,請清空 「包括 web 郵箱」 核取方塊。

  4. 啟用 HSTS

    備註: 如果您的 SSL/TLS 證書早於 「Max-age」 期限到期但是您仍想要使用 HSTS,我們建議您啟用 「保護網站的安全」。然後當 SSL/TLS 證書到期時,SSL It! 將自動簽發 Let’s Encrypt 的免費證書用來保護屬於訂閱的域名、子域名、域名別名和 web 郵箱。網站將持續得到安全保護且 HSTS 將繼續工作運行。

  5. 打開 「OCSP 裝訂」。

強化了網站的 SSL 的安全性後,則可以對其進行評估。

啟用 HSTS

  1. 打開 HSTS。
  2. 請確保保護您網站的 SSL/TLS 證書在」Max-age」時段內有效。對子域名和 web 郵箱子域名執行同樣的操作。

警告: 如果SSL/TLS證書在 Max-age 時段之前過期,並且 HSTS 已打開,則訪問者將無法存取您的網站。

  1. 如果您的子域名未使用有效的 SSL/TLS 證書進行安全保護或者您沒有任何子域名,請清空 「包括子域名」 核取方塊。
  2. 如果您的 web 郵箱子域名尚未使用有效的 SSL/TLS 證書保護或您還沒有任何 web 郵箱,請清空 「包括 web 郵箱」 核取方塊。
  3. 點按 啟用 HSTS

已知問題和局限性

  • OCSP 裝訂只適用於由 nginx 和 Apache 服務或 nginx 單獨服務的網站。如果您的網站只由 Apache 服務,則不需要開啟 「OCSP 裝訂」。
  • 如果完整的信任鏈未就位,OCSP 裝訂可能無法用於某些供應商的 SSL/TLS 證書(例如 DigiCert 的免費證書)。若要檢查您的證書是否支援 OCSP 裝訂,請在您的 SSL 配置上運行 SSL Labs 測試。

評估網站的 SSL 的安全性

流行的搜尋引擎(例如 Google)會給有更好 SSL 保護的網站更高排名。在 SSL It! 擴展中,您可以運行最流行的測試服務,Qualys SSL Labs,以實現:

  • 檢查您網站的 SSL 保護有多好。
  • 查看哪些可以提升。
  • 獲得 A+,最高評分(必要時強化 SSL 保護後)。

若要評估網站的 SSL 的安全性,請如下操作:

  1. 轉到 網站與域名 > 您的域名 > SSL/TLS 證書
  2. 點按運行 SSL Labs 測試

將在新的標籤中打開 Qualys SSL Labs 網站,然後自動開始測試。等測試結束後即可獲得您的評分。這可能需要幾分鐘的時間。

如果您使用可信 CA 的有效 SSL/TLS 證書保護網站的安全,且打開了 SSL It! 提供的所有安全增強功能,最有可能得到 A+ 的評分。