简单说明:
目前多个大型网站都实现全站HTTPS,而SSL证书是实现HTTPS的必要条件之一。
StartSSL是StartCom公司旗下的、提供免费SSL证书服务并且被主流浏览器支持的免费SSL。包括Chrome、Firefox、IE、360、搜狗等浏览器都可以正常识别StartSSL,任何个人都可以从StartSSL上申请免费一年的SSL证书。(到期前两周会得到邮件通知,此时可以免费续签)
StartSSL的官方网站是http://www.startssl.com,网站需要提供一个邮箱来申请StartSSL证书(即邮箱证书凭证),并且以此作为登录和管理StartSSL的唯一凭证。(务必好好保存或备份,否则将没法登录,特别是重新系统又忘记备份)
申请步骤:
1 打开StartSSL官方网站 http://www.startssl.com
2 申请账号(邮箱证书凭证)
2.1 点击Sign-up打开申请界面
2.2 Country已经默认为China。在Email输入框中,输入您的邮箱。(此邮箱用于接收网站重要消息)
2.3 点击"Send verification code",提交后系统会发送一个随机验证码到邮箱。
2.4 打开邮箱,找到验证码
2.5 把验证码复制到Verification Code输入框里,点击“Sign Up” 提交。
2.6 如果申请顺利通过,将会立即显示"Email control is verfied".
3 登录
3.1 StartSSL使用证书来登录。点击“Login”后,点击"Authenticat"进行证书验证。
3.2 在弹出的“证书选择”提示框中,选择刚才申请的邮箱证书凭证。
3.3 登录成功后,会自动跳转到欢迎页。
4 域名验证
4.1 登录后,点击"Valiations Wizard",打开域名验证向导。
4.2 选择"Domain validation",点击“Continue”,进行域名验证。
4.3 在“Domain”输入框内,输入你需要申请SSL证书的域名,点击“Continue”进行下一步。
4.4 在列出来的域名管理员邮箱中,选择一个使用中的管理员邮箱。
4.5 点击“Send Verification Code”后,系统将发送一个随机验证码到域名管理员邮箱。
4.6 打开管理员邮箱,复制验证码到“Verification Code”输入框中,然后点击“Validation”进行域名验证。
4.7 如果域名验证通过,将会显示"Validation Success" 信息.
5 申请SSL证书
5.1 一个域名可以申请多个域名证书。一个域名证书支持最多五个二级域名。
5.2 登录后,点击"Certificates Wizard",打开SSL证书申请向导。
5.3 选择"Web Server SSL/TLS Ceritificate",点击“Continue”进入下一步。
5.4 在“Validated Domain(S)”输入内输入需要申请的域名。
每个二级域名单独占一行,最多输入可以五个域名,如:
www.abc.com
api.abc.com
5.5 选择“Generated by PKI System",指定使用系统来自动生成密钥文件。
5.6 密码类型 "KeySize", 选择4096(High)。(这样更安全)
5.7 在"Private key password"和"Enter password again"输入框中,输入并确认密钥密码。(解密密钥文件时需要用到,务必保存好)
5.8 点击“submit”后,弹出密钥说明框(实际就是一段字符串)。
5.9 点击“Download Private Key”下载保存好此密钥(重要文件,务必保存好)
5.10 保存密钥文件后,点击“submit”提交此密钥,系统会再次询问你是否已经保存好密钥。如已保存,点击“确定”
5.11 如果顺利提交密钥,系统会提示“Your Cerificate is issued......后面省略”,说明SSL证书已经生成成功。
6 获取SSL证书,解密密钥文件
6.1 登录后,点击"Tool Box",打开系统工具。
6.2 点击“Cerificate List”,打开证书列表(应该至少会有两个证书:一个是邮箱凭证证书,一个是刚申请的SSL证书)
6.3 点击SSL证书后的"Retrieve"下载证书压缩包。(压缩包里包含有NGINX在内的4种服务器SSL证书)
6.4 解压后,得到类似“1_api.abc.com_bundle.crt"文件。这就是SSL证书文件。建议改名为"api.abc.com.crt"
6.5 之前下载的密钥文件(一般为ssl.key)。建议改名为"api.abc.com.encrypted.key"
6.6 点击"Tool Box"下的"Decrypt Private Key",可以将密钥文件转换为没密码密钥文件。
6.7 使用文本编辑,打开密钥文件,复制所有内容到“Enter Private Key And Password”输入框输内
6.8 在“passphrase”输入框中,输入密钥文件的密码。(生成密钥时设置的密码)
6.9 点击“Decrypt”,解密密码文件,得到一串字符串。(实际就是没密码密钥文件)
6.10 创建一个新的文件,建议命名为“api.abc.com.key”.
6.11 复制刚生成的字符串,保存到此文件。(即无密码密钥文件)
6.12 一般有配置HTTPS服务,需要上传证书文件以及无密码密钥即可。原始密钥和密码另外保存好.
7 证书续签
7.1 StartSSL免费SSL证书只有一年。免费到期前两周,系统会使用邮箱方式发送通知到凭证对应的邮箱,这时可以再免费续签。
7.2 登录后,点击"Tool Box" 下的“Cerificate List”,打开证书列表
7.3 即将到期的证书,会增加一个“Renew”续签选择框,点击后,操作步骤和申请基本一致。
7.4 续签后,参考初次申请取回证书,并更新到服务器上。