在平台购买SSL证书并完成验证后，CA将签发此证书。我们将通过电子邮件的方式向您发送证书文件包，您也可以登录极云平台下载证书。下载的证书包中包含Nginx、Apache、Tomcat、IIS等Web服务器使用的证书格式，无需转换即可安装。

阿里云安全组开放端口
阿里云安全组类似虚拟防火墙，默认只开放了22和3389端口

在阿里云服务器ECS控制台
左侧栏选择“实例”，找到需要开放端口的云服务器ECS实例，如果没有，记得切换左上角地域。

点“更多”–“网路和安全组”–“安全组配置”

在“配置规则”中，按照下图开放443端口
如下图：

端口号以开放443端口为例，在安全组规则的“入方向”，点击“手动添加”，规则如下：

端口范围目的：443/443
授权对象源：0.0.0.0/0
授权对象0.0.0.0/0是指授权给所有IP。上述规则的意思是，将云服务器8888端口，授权给所有IP使用。出于安全考虑，授权对象也可以填写IP段或者固定IP地址。

关于安全组参考文档：https://help.aliyun.com/document_detail/25471.html

1.合成Nginx所需的证书文件:

新建一个记事本文件，复制证书(.crt)内容到记事本的第一段，复制证书链(.ca)内容到第二段；（如下图）

然后保存，将记事本重命名为：你的域名_chain.com.crt（例如：sslsky.com_chain.crt）；

如需要pem格式证书，可直接修改后缀为：你的域名_chain.com.pem

准备好以下文件：
sslsky.com_chain.crt (包含证书链的证书文件)
sslsky.com.key (私钥文件）

2.环境检测，检测命令如下（测试nginx是否支持SSL）

nginx -V
如果有显示 –with-http_ssl_module 表示已编译openssl，支持安装ssl

如果没有安装请下载nginx源码重新编译

./configure --with-http_stub_status_module --with-http_ssl_module
make && make install

3.配置Nginx

server {
listen 80;
listen 443 ssl;
server_name www.sslsky.com;
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
ssl_certificate /etc/ssl/sslsky.com.crt;
ssl_certificate_key /etc/ssl/sslsky.com.key;
ssl_prefer_server_ciphers on;

自动跳转到HTTPS (可选)

if ($server_port = 80) {
rewrite ^(.*)$ https://$host$1 permanent;
}
location / {
root /home/sslsky/;
index index.php;
}
}
以上配置仅供参考，其他参数请根据生产环境需要添加。

4.安装后重启nginx使其生效

centos6
service nginx restart
centos7
systemctl restart nginx

问题排查：

如果使用CDN（加速器），需要在CDN上面安装证书，国内免费加速的都不支持https（已知阿里云cdn支持）

检查443端口是否启动 使用下面命令 netstat -apnt | grep 443 (如果没有启动检查配置文件或者端口是否冲突）

443端口如果已经启动,但不能访问，请检查防火墙（或者安全狗） ，允许443端口.

linux iptables使用下面命令:

iptables -A INPUT -p tcp -m tcp --dport https -j ACCEPT

第一步：转换证书格式(.jks)

第二步： 进入Tomcat安装目录, d:/apache-tomcat-8.0.18, 把下载的jks文件放在tomcat安装目录即可。

d:/apache-tomcat-8.0.18/sslsky.com.jks
第三步： 打开tomcat配置文件 conf/server.xml

tomcat默认一般是8080端口或者 80端口，先找到这一段。

<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
在这段下面插入下面配置：

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1"
clientAuth="false" sslProtocol="TLS" keystoreFile="sslsky.com.jks" keystorePass="123456" />

注意事项：

防火墙要允许443端口

使用CDN，需要让CDN服务商安装SSL

Tomcat 6.0上面配置如果无法启动，把protocol修改为 protocol=”HTTP/1.1″

windows平台运行tomcat ， bin目录下必须有tcnative-1.dll

org.apache.coyote.http11.Http11Protocol - blocking Java connector
org.apache.coyote.http11.Http11NioProtocol - non blocking Java connector
org.apache.coyote.http11.Http11AprProtocol - the APR/native connector.
tomcat 修改DHE大小
-Djdk.tls.ephemeralDHKeySize=2048

第⼀步：转换证书格式(.pfx)

第⼆步：⾸先上传PFX格式证书到服务器桌⾯，打开IIS管理器，选择【服务器证书】

第三步：右键导⼊PFX证书， 输⼊证书密码。

第四步：把证书绑定到网站。 选择网站，右键 ，点击“编辑绑定”。

第五步：点击”添加”，选择 “HTTPS”，选择刚刚导⼊的证书名称，点击确定。

至此，SSL已配置完毕，如果通过https访问不了⽹站，需要确认防⽕墙是否拦截了443端口，如果没有开放请开放443端口。

如果IIS7下想绑定多个⼦域名，就需要⼿动配置了，因为IIS7下默认⽀持单个443端口。

配置方法如下：网上的资料⼤部分都是建议修改IIS7配置⽂件直接指定主机名，内容如下：

记事本打开C:\Windows\system32\inetsrv\config\applicationHost.config
通过ctrl+F 查找 定位到如下位置：

找到https的配置项⽬⾏(带有443端⼝的那⾏)，修改为：

注意这里的www.sslcity.com要换成你自己的域名，之后保存即可。

此处列举了多个按需添加即可单域名证书只可添加⼀条，如果购买了通配符证书可以把⽹站下属所有子域名都加上即可。

注意：如果使用了CDN， 需在CDN上配置SSL证书。