cPanel面板的SSL/TLS协议功能允许生成和管理 SSL 证书、签名请求和密钥,从而增强网站的安全性。这些功能对于经常处理敏感信息(如登录凭证和信用卡号)的网站非常有用。加密可保护访问者的通信免受恶意用户的攻击。本教程将详细介绍如何使用cPanel面板的SSL/TLS协议功能。
注意:本教程适用于 92 至最新版本。
一、概述
cPanel & WHM 支持传输层安全(TLS)协议 1.2 版和传输层安全(TLS)协议 1.3 版:
- cPanel & WHM 仅支持 TLSv1.2 或更高版本。系统默认启用 TLSv1.2;
- 并非所有客户端都支持 TLSv1.3,这需要 OpenSSL 1.1.1 或更高版本;
- 如果使用 AutoSSL 或通过 cPanel 账户购买的 SSL 证书来保护链接的邮件节点,则 cPanel 和 WHM 节点必须能够管理权威 DNS 服务器。
域名区域文件中的 CAA(证书颁发机构认证)记录限制了哪些 CA(证书颁发机构)可以为该域名颁发证书。
- 如果某个域不存在 CAA 记录,则所有 CA 都可以为该域签发证书;
- 如果已经存在相互冲突的 CAA 记录,请删除现有 CAA 记录或为所需 CA 添加一个。例如,Sectigo 的 CAA 记录类似下面的示例,其中 example.com 代表域名:
example.com. 86400 IN CAA 0 issue "sectigo.com"
可以通过 cPanel 的 Zone Editor 界面(cPanel ” 主页 ” 域名 ” Zone Editor)管理 CAA 记录。
二、可用功能
该界面包含以下功能:
- Default SSL/TLS Key Type – 选择系统默认用于 SSL/TLS 证书和证书签名请求的密钥类型;
- 私钥(KEY) – 生成、查看、上传或删除私钥;
- 证书签名请求(CSR) – 生成、查看或删除 SSL 证书签名请求;
- 证书(CRT)- 为网站设置 SSL 证书;
- 为您的站点(HTTPS)安装和管理 SSL – 生成、查看、上传或删除 SSL 证书。
三、默认SSL/TLS密钥类型
该界面的 “默认 SSL/TLS 密钥类型 “部分可让选择首选的默认 SSL/TLS 密钥类型。系统会在提供所有 SSL/TLS 证书和签名请求时使用所选密钥。设置新的默认密钥类型后,该类型将取代服务器设置的默认密钥类型。
选择首选密钥类型后,单击保存更新设置。
注意:更新首选密钥类型后,系统将执行一次 AutoSSL 运行。这将更新所有已安装的 AutoSSL 签发证书,以使用新的密钥类型。
四、私钥
为网站设置 SSL 证书时,必须首先添加私钥。要访问此界面,请单击生成、查看、上传或删除私钥。
该界面允许你执行以下任何操作:
- 生成新私钥;
- 上传一个现有的私钥;
- 编辑当前的私钥;
- 删除当前的私钥。
可以通过 *.key 文件生成新密钥或上传现有密钥。
强烈建议你将私钥的副本保存在安全位置。丢失的私钥无法恢复。如果访问者向网站提交敏感信息,建议你使用 SSL 证书。
五、服务器上的密钥
服务器密钥表包含以下信息:
1、描述:私钥的说明。
2、编号:私钥的 ID。
3、密钥类型:私钥的类型。
4、操作:
- 编辑 — 编辑私钥;
- 删除 — 删除私钥。
六、生成新的私钥
要生成私钥,请执行以下步骤:
1、从 “密钥类型 “菜单中选择所需的密钥。可选择在 “说明 “文本框中输入有关此私钥的简要说明。
2、单击生成。将出现一个新界面,以编码和解码格式显示所需的密钥。
3、复制所需的密钥。
4、单击返回私钥。新密钥将显示在 “服务器上的密钥 “表中。
5、将新密钥上传到服务器。为此,可使用粘贴私钥或浏览私钥方法。
七、管理私钥
1、上传新私钥
执行以下任一操作上传私钥:
- 在文本框中粘贴密钥;
- 浏览私钥。
2、粘贴私钥
要粘贴私钥,请执行以下步骤:
- 将密钥粘贴到以下文本框中: 文本框;
- 可选择在 “说明 “文本框中输入有关此私钥的简要说明;
- 单击保存上传私钥。这时会出现一个新界面,显示成功或失败信息。
3、浏览私钥
要浏览私钥,请执行以下步骤:
- 单击 “选择文件 “上传 *.key 文件;
- 可选择在 “描述 “文本框中输入此私钥的简要描述;
- 单击上传。将出现一个新界面,显示成功或失败信息。
4、删除私钥
要删除私钥,请执行以下步骤:
- 在 “服务器上的密钥 “表中找到要删除的密钥;
- 单击要删除的密钥旁边的 “操作 “栏中的 “删除”。系统会将你重定向到私钥界面;
- 单击删除密钥。系统将显示成功或失败信息。
5、编辑和查看私钥的详细信息
要编辑密钥说明或查看密钥,请执行以下步骤:
- 在服务器密钥表中找到要编辑的密钥;
- 单击要编辑的密钥旁边的 “操作 “栏中的 “查看和编辑”。这时会出现一个新界面,显示说明、编码私钥和解码私钥;
- 编辑描述文本框;
- 单击更新。描述文本框旁边将显示成功或失败信息。
八、证书签名请求
通过该界面可以生成、查看或删除证书签名请求 (CSR)。还可以查看和编辑当前描述、编码私钥和解码私钥。要访问此界面,请单击生成、查看或删除 SSL 证书签名请求。
九、服务器证书签名请求
服务器上的证书签名请求表包含以下信息:
1、域:CSR 的域。
2、创建:CSR 的时间,以世界协调时(UTC)为单位。
3、描述:CSR 的描述。
4、操作:
- 编辑 – 编辑 CSR;
- 删除 – 删除 CSR。
十、管理CSR
1、生成新的CSR
在生成签名请求前,必须拥有或生成密钥。要生成 CSR,请执行以下步骤:
(1)在生成新证书签名请求 (CSR) 标题下,从 “密钥 “菜单中选择密钥。
- 选择密钥后,会出现 “编辑 “选项。单击 “编辑 “查看和编辑私钥的信息;
- 如果所需密钥未出现在菜单中,请从 “密钥 “菜单中选择要生成的密钥类型。也可以在界面的 “私钥 “部分添加新的私钥。
(2)在密钥菜单下方的文本框中输入所需信息。
(3)单击生成。
2、删除CSR
要删除 CSR,请执行以下步骤:
(1)在服务器证书签名请求表中找到要删除的 CSR。
(2)单击操作栏中的删除。将出现一个新界面。
(3)单击删除 CSR 确认。
- 将出现一条成功或失败的信息;
- 如果不想删除 CSR,请单击取消。
3、编辑和查看 CSR 的详细信息
要编辑描述或查看 CSR,请执行以下步骤:
(1)在服务器证书签名请求表中找到要编辑的 CSR。
(2)单击操作栏中的编辑。将出现一个新界面,显示描述、编码 CSR 和解码 CSR。
(3)在描述文本框中输入所需的任何更改。
(4)单击更新名称。描述文本框旁边将显示成功或失败信息。
十一、证书
该界面允许生成、查看、上传或删除 SSL 证书。要访问此界面,请单击生成、查看、上传或删除 SSL 证书。
1、服务器上的证书
服务器上的证书表包含以下信息:
(1)域:私钥说明。
(2)颁发者:签发证书的证书颁发机构 (CA)。
(3)过期(UTC) :证书过期时间,单位为协调世界时 (UTC)。
(4)私钥类型。
(5)说明 证书描述。
(6)操作 :
- Edit – 编辑 SSL 证书;
- Delete – 删除 SSL 证书;
- Install – 安装 SSL 证书。
2、上传新证书
要粘贴证书,请执行以下步骤:
- 在上传新证书标题下,将证书文本粘贴到以下文本框: 文本框中;
- 可选择在 Description: 文本框中输入证书的简要说明;
- 单击保存证书上传证书;
- 新屏幕上将显示成功或错误信息。
要浏览证书,请执行以下步骤:
- 在 “选择证书文件(.crt)*”标题下,单击 “选择文件”;
- 可选择在 “描述:”文本框中写入有关此证书的简要描述;
- 单击上传证书;
- 系统将显示成功或错误信息。
3、生成新证书
要生成自签名 SSL 证书,请执行以下步骤:
- 在 “生成新证书 “标题下,从 “密钥 “菜单中选择密钥。如果所需密钥未出现在菜单中,请使用私钥功能添加新的私钥;
- 在域、城市、州、公司、公司部门、电子邮件和描述文本框以及国家菜单中输入适当的信息。必须输入域、城市、州、国家和公司信息;
- 单击生成。
4、删除证书
要删除证书,请执行以下步骤:
- 在服务器证书表中找到要删除的证书;
- 单击删除该证书。将出现一个新界面;
- 单击删除证书。将出现成功或错误信息。
5、编辑和查看证书详情
要编辑描述或查看证书,请执行以下步骤:
- 在服务器证书表中找到要编辑的证书;
- 单击编辑。将出现一个新界面,显示描述、编码证书和解码证书;
- 在 “说明:”文本框中输入更改内容,然后单击 “更新说明”。系统将显示成功或错误信息;
- 要从该界面删除证书,请单击界面底部的删除证书。
6、安装证书
要安装证书,请单击 “服务器上的证书 “标题下 “操作 “栏中的 “安装”。
十二、安装和管理SSL
在 WHM 中,系统管理员可以为用户的 cPanel 账户创建和安装 SSL 证书。要访问此界面,请单击管理 SSL 站点。
通过该界面可以执行以下操作:
- 更改共享 IP 地址上的主域;
- 更新证书;
- 卸载证书;
- 查看证书详细信息;
- 为其他站点使用证书。
邮件 SNI 与 Webmail 不兼容,不能用于任何 Webmail 连接。Webmail 连接使用 cPanel 服务 SSL 证书。只支持链接邮件节点的 DNS 域控制验证 (DCV)。
如果 SSL 证书已存在于具有专用 IP 地址的域中,界面会在介绍文本下方显示管理已安装的 SSL 网站表。
1、FQDN:网站的域名。
2、Certificate Expiration :证书过期日期。
3、Document Root 域名网站文件的位置。
4、Actions
可以执行以下操作:
- 使其为主域 – 使该网站成为共享 IP 地址上的主域;
- 表格上方将显示成功或失败消息;
- 此操作仅适用于非主要网站;
- 卸载 – 卸载 SSL 证书。将出现一条确认操作的消息。单击 “继续 “继续,或单击 “取消 “返回 “管理已安装的 SSL 主机 “部分;
- 更新证书 – 更新 SSL 证书。安装 SSL 主机 “部分将出现在修改表格的表格下方;
- 证书详细信息 – 查看证书的其他信息;
- 为新网站使用证书 – 将证书用于另一个网站、附加域或子域。安装 SSL 主机 “部分将出现在表格下方,可以在此修改表格以更改域菜单。
十三、安装SSL网站
使用安装 SSL 网站部分的表单安装证书。你可以使用三种不同的方法安装证书:
- 单击浏览证书;
- 按域搜索;
- 手动输入信息。
1、浏览证书
要使用浏览证书安装证书,请执行以下步骤:
- 单击浏览证书;
- 单击与所需证书相对应的按钮。只有与域相对应的证书才会出现在列表中;
- 单击 “使用证书 “返回 “安装 SSL 主机 “部分。证书信息将显示在文本框中;
- 可选择在 Certificate Authority Bundle: (CABUNDLE) 文本框中输入适当信息;
- 单击安装证书。将显示成功或失败信息。
2、按域搜索
要按域搜索安装证书,请执行以下步骤:
- 在域菜单中选择所需域;
- 单击 “按域自动填充”。界面将尝试检索并输入证书信息;
- 如果该步骤成功,可用文本框将包含相应信息;
- 如果此步骤未成功,文本框将保持为空;
- 单击安装证书。系统将显示成功或失败信息。
3、手动输入信息
要手动输入信息以安装证书,请执行以下步骤:
- 在域菜单中选择所需域;
- 在证书 (CRT) 文本框中输入证书信息;
- 在私钥 (KEY) 文本框中输入私钥信息;
- 可选择在 Certificate Authority Bundle (CABUNDLE) 文本框中输入证书颁发机构信息;
- 单击安装证书。将显示成功或失败消息。