StartSSL证书申请部署方法
StartSSL是StartCom公司旗下的SSL证书,貌似是现在唯一一家提供免费SSL证书服务并且被主流浏览器支持的免费SSL,包括Chrome、Firefox、IE等浏览器都可以正常识别StartSSL,任何个人都可以从StartSSL中申请到免费一年的SSL证书。
StartSSL申请虽然要审核,但是一般十几分钟就会回复邮件了。而且经过部落的几次申请测试发现,StartSSL申请审核并不严格,如果遇到问题,你只要回复一封邮件过去回答邮件当中所提的问题,通过率几乎是100%。
使用StartSSL前必须先在自己的电脑上安装StartSSL证书,这个证书就是你用来登录和管理StartSSL申请到的SSL唯一凭证,没有了这个凭证就无法对已经申请的SSL进行管理和续期了,只能重新申请一个了,所以需要特别保存好。
一、StartSSL个人证书登录申请
1、StartSSL官网:
- 1、官方首页:https://www.startssl.com
- 2、控制面板:https://startssl.com/Account
2、第一次用StartSSL,点击网页顶部的Sign up注册,StartSSL会根据你的IP自动判别你的国家,然后输入email点击send.
3、提交后你的邮箱会收到一个验证码,用这个验证码输入填写验证。验证成功后,直接提示下载个人操作证书。安装好了个人操作证书后,就可以返回到控制面板,点击Authenticate凭证书登录了。
1、上面是获得了StartSSL的个人操作登录使用权,接下来我们要用自己的域名来申请一个StartSSL免费SSL证书了。点击Validations Wizard,选择Domain name validation,点击Continue。
2、输入你的域名之后点击cintinue按钮,接下来选择你的域名所有者的邮箱,如果你的域名设置了Whois保护,可能还要先进入域名注册商那里取消保护,否则无法使用域名管理员邮箱通过域名所有权验证。提交了域名后,到邮箱中收取激活邮件,填入验证码,通过验证。
三、申请StartSSL生成域名的SSL证书
1、上面已经提交了域名并通过了所有权验证,点击Certificates Wizard,选择WEB Server SSL/TSL Certifites。
2、在Validated domain框中输入你要绑定的域名,最多支持5个。输入完毕后回车即可
3、自己vps上生成一个证书申请文件csr,可以用下面命令重新生成
- openssl req -new -newkey rsa:2048 -nodes -out ssl.csr -keyout ssl.key
输入该指令后会询问你的地址,邮箱等信息,最后会要求你输入一个密码,如果不想每次重启nginx还要输入密码的话,建议这里直接回车,不要密码
生成好后,你会得到两个文件,ssl.csr和ssl.key,vi ssl.csr这个证书申请文件,把里面的内容复制到
StartSSL的Submit Certificate Request (CSR)框里,
4、点击提交就会生成证书。然后下载生成好的证书部署到服务器即可。
四、部署StartSSL的SSL证书
1、把StartSSL.key和StartSSL.crt放在 /home/ssl 目录下。目录可以随意,但必须与nginx配置文件相对应。
2、打开nginx配置文件。添加以下代码后重启nginx即可完成部署。
- listen 443 ssl;
- ssl on;
- ssl_certificate /home/ssl/StartSSL.crt;
- ssl_certificate_key /home/ssl/StartSSL.key;
- ssl_session_timeout 5m;
- ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
- ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;
- ssl_prefer_server_ciphers on;
3、如果要强制使用https访问就在nginx配置文件末尾加入以下跳转代码,
4、部署完成后效果如图。
4、如果部署之后显示红色叉。则就要检查本站外链的图片,视频等是否是https连接。不是的修改好即可。
自己的网站没还没用过ssl
尤克里里谱 于2016-08-09 18:29 评论