为网站申请和配置StartSSL的SSL证书的全过程图文讲解
startssl算是比较早提供免费ssl证书的第三方提供商,我们可以免费申请且免费续期使用到有需要https网址的用户。关于网站使用ssl证书主要还是因为谷歌在向导说明中提到如果一个网站使用到ssl证书会有一定的排名优势,虽然百度等搜索引擎也宣布支持ssl证书的索引,但是到目前为止我们看到较多的还是用于英文或者针对谷歌等海外搜索引擎中的用户居多。
无论我们使用startssl免费证书还是使用付费证书,从手册中并没有看到有哪些区别,对于仅仅需要一个小锁标志的用户来说这个无所谓,免费的其实也可以用的,如果我们过分的纠结免费与付费ssl的区别,那我们还是购买一个付费ssl,如今付费ssl也很便宜,比如在namecheap购买最便宜仅需要3.99美元一年。
如今ssl证书已经变得非常的普及,比如后面小编准备分享的let's encrypt免费ssl已经开始公测,得到大部分第三方浏览器、权威网站的认可,所以如果以后我们网站需要用到ssl证书实现https网址格式,可选择的免费ssl渠道还是很多的。
第一、startssl官方网站
官方网站:https://www.startssl.com
进入startssl官方网站之后,我们如果是新用户,那就需要sign-up新注册账户。
第二、新注册startssl账号
这里默认会根据ip地址选择国家,如果选择的不对我们需要自己选择一个,然后输入邮箱点击激活验证码,会发送一个激活验证码到我们的邮箱中。
这里我们输入验证码,然后点击sign up即可注册完毕。将会自动将startssl官方网站登录证书安装到浏览器中,我们以后登录startssl官方网站是不需要输入用户名和密码的,直接就可以点击authenticate 登录到startssl用户管理面板界面。
第三、申请免费startssl证书
startssl商家也不是完全提供免费ssl证书的,也有提供付费证书,毕竟人家也是要维系收支的,如果以后我们有钱了,也去购买人家的付费ssl使用。
1、选择免费ssl证书
在后台面板中我们可以看到很多付费的ssl证书,具体的有什么特别之处我也不去了解了,这里找到上图所示的位置,看到是免费证书就是我们要找的,点击here链接进入下一步看看需要点什么资料才可以申请到。
2、选择ssl应用类型
这里使用类型有web server ssl/tls certificate、client s/mime and authentication certificate两种,一般我们选择第一种。
3、验证域名所有权
我们选择使用到网站中肯定需要对需要用的域名进行验证,要不就乱套了。看到上图所示点击"domain validation"进行域名验证。
这里我们需要用到域名中,那就选择domain validation选项。
这里小编仅仅是为了测试startssl免费ssl证书的申请过程,也没有准备用到实际的网站中,所以暂且用laobuluo.com其中一个二级域名作为申请证书测试。
这里我们选择一个可以用的邮箱然后点击send verification code按钮发送邮件,然后收到的激活码输入后点击validation按钮验证。这里需要注意的,如果我们没有域名邮局,会自动检索whois邮箱,如果我们有隐私保护的,那可以先取消,等接受到后再开启隐私保护。这里我用的是"webmaster@laobuluo.com"域名邮局,所以选择后接受验证。
这里验证完毕且申请域名激活验证后,我们可以继续申请免费ssl证书。
4、申请免费域名ssl证书
(1)填写申请的域名
我们可以最多填写包含"laobuluo.com"5个子域名,一行一个,startssl免费ssl只能支持5个,如果需要多个,那就需要购买付费服务。
(2)填写csr
如果有阅读过之前的几篇文章的时候,如果我们使用的vps,那在申请ssl证书的时候需要填写csr,这个csr我们可以直接在vps中生成。
执行命令后我们需要将laobuluo.com.csr的脚本复制黏贴进去就可以了。这里我们要随机应变,如果使用的虚拟主机、一键包等环境,可能会自动生成csr,然后我们根据指定的路径复制过来就可以。
如果我们并不是用的vps或者暂时还没准备去使用,跟小编一样先申请下来,后面再去使用,那就选择startssl自带的pki系统生成csr。
这里我们输入10位以上的密码,让系统给我们自动生成csr,这里我们一定要记住密码,后面估计获取ssl的时候需要用到。
这个密钥我们一定要保存好,下载或者复制到本地保存,后面我们肯定需要用到的,要不给我们这个做什么呢?保存好之后点击submit提交。到目前为止,我们startssl免费ssl证书就申请完毕,但不是立即开通的需要等待审核邮件发送过来我们才可以下载证书去使用到网站。
ps:这个时间过程有可能十几分钟,也有几个小时,我们只能等待。
第四、startssl免费ssl证书的下载和使用
小编记得以前是需要十几分钟甚至几个小时才可以下载和使用的,现在好像可以立即使用,看来官方的效率提高很多。
我们可以看到startssl证书后台还是比较清晰的,一般的工具我们不需要用到,如果后面小编在实际用途的时候需要用到在补充。这里我们需要做的就是将证书下载下来。默认是免费1年,到期之前是可以续约的,也是免费的。
这里我们看到下载的ssl证书压缩包就比较明了吧。根据我们网站的环境,然后对应使用各自压缩包中的ssl证书文件部署到网站中就可以。
这里我以nginx下的wordpress为例讲一个小问题。
按照startssl的文档一步步的来。不过我是直接选择在 https://startssl.com/certificates 中设置「certificate signing request (csr)」>「generated by pki system」,又因为在线生成证书这一步必须得输入密码,所以导致下面的问题(上传自己在服务器上生成的证书可能不会碰到这个问题):
每次 启动/重启 nginx的时候都提示:
stoping nginx… enter pem pass phrase:
根据网上的解答:这种情况可能是在设置私钥key时将密码设置写入了key文件,导致nginx/apache等系列服务器在启动时要求enter pem pass phrase。我们需要做的是剥离这个密码,利用如下openssl命令生成 server.key.unsecure 文件:
openssl rsa -in server.key -out server.key.unsecure
opensslrsa -in server.key -outserver.key.unsecure
然后修改 nginx.conf 配置文件中的:
ssl_certificate_key /etc/nginx/certs/server.key.unsecure;
ssl_certificate_key /etc/nginx/certs/server.key.unsecure;
重新加载一下nginx的配置文件即可看到效果。
第五、startssl免费ssl证书申请总结
通过以上的步骤申请到startssl免费ssl证书的过程还是比较简单的,至少比以前老版本界面的时候小编也有申请过,那时候需要几个小时等待激活邮件和申请开通确认。上面的步骤如果不是要记录下来,一般十分钟就可以解决问题。
如果我们是简单的站点用途,并不是商业用途,startssl免费ssl证书是足够使用的,至少目前也没有听到说用免费的还是付费的有多大的区别。如果我们有需要使用到免费ssl证书到网站中的,也不凡申请startssl证书玩玩。