StartSSL免费SSL证书申请安装和续期
SSL(全称 Secure Sockets Layer 安全套接层),由Netscape Communication公司设计开发,利用数据加密(Encryption)技术,保障在Internet上数据传输的安全。
SSL继任者TLS(全称 Transport Layer Security 安全传输层协议),由TLS记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)组成,用于在两个通信应用程序之间提供保密性和数据完整性。TLS 记录协议用于封装各种高层协议;TLS握手协议处理对等用户的认证,在这一层使用了公共密钥和证书,并协商算法和加密实际数据传输的密钥,该过程在TLS记录协议之上进行。
HTTPS(全称 Hyper Text Transfer Protocol over Secure Socket Layer 安全超文本传输协议),它是由Netscape开发,内置于浏览器中,用于对数据进行安全传输。HTTPS使用端口443,而不是象HTTP那样使用端口80来和TCP/IP进行通信。
SSL证书是一种数字证书,用于激活SSL/TLS协议,实现数据信息在客户端和服务器之间的加密传输,保持数据的完整性,防止数据信息的泄露,用户还可以通过服务器证书验证所访问的网站是否真实可靠。
SSL证书的等级分类和适用范围:
DV SSL(全称 Domain Validation SSL),class 1 级,只验证网站域名所有权的简易型SSL证书,特征是地址栏旁边显示一个安全锁标志。此类证书仅能起到网站机密信息加密的作用,无法向用户证明网站的真实身份,仅适合于个人网站或非电子商务网站。
IV SSL(全称 Individuals Validation SSL),Class 2 级,需要验证网站经营者(个人)的真实身份的专业级SSL证书,特征是地址栏旁边显示一个安全锁标志。不仅能起到网站机密信息加密的作用,而且能向用户证明网站的真实身份。
OV SSL(全称 Organization Validation SSL),Class 3 级,需要验证网站所有单位的真实身份的标准型SSL证书,特征是地址栏旁边显示一个安全锁标志。此类证书为正常的SSL证书,不仅能起到网站机密信息加密的作用,而且能向用户证明网站的真实身份。因为电子商务需要的是在线信任和在线安全,推荐所有电子商务网站使用。
EV SSL(全称 Extended Validation SSL),Class 4 级,遵循全球统一的严格身份验证标准颁发的SSL证书,是目前业界最高安全级别的SSL证书,特征是浏览器地址栏不仅显示安全锁标志,而且地址栏整个变为绿色。推荐所有电子商务网站都部署EV SSL证书。
StartSSL Class 1 级免费SSL证书的申请应用:
注册账号:
https://www.startssl.com 点击 “Sign-up”,填写相关的表单注册。
注:填写详细的地址,需要精确到门牌号/房间号。
获取客户端登陆证书:
注册审核通过后,根据邮件中的指示生成并安装用来登陆的客户端证书,此客户端证书为登陆账号的唯一凭证,根据需要可在浏览器的证书管理中导出备份。登陆证书安装好后,可以点击 “Authenticate” 凭证书登录进行后续的操作。
验证域名所有权:
1. 登陆控制面板,选择 “Validations Wizard” 标签;
2. 选择 “Domain Name” 并点击 “Continue”;
3. 输入域名并选择域名扩展名然后点击 “Continue”;
4. 选择用来认证域名所有权的管理邮箱并点击 “Continue”;
5. 输入域名管理邮箱接收到的验证码并点击 “Finish”。
生成SSL证书:
1. 登陆控制面板,选择 “Certificates Wizard” 标签;
2. 选择 “SSL/TLS Server Certificate” 并点击 “Continue”;
3. 输入至少10个字符的密码并点击 “Continue”;
4. 保存私钥并点击 “Continue”;
5. 在下拉菜单中选择域名并点击 “Continue”;
6. 加子域名并点击 “Continue”;
7. 保存证书并点击 “Finish”。
获取SSL证书:
1. 登陆控制面板,选择 “Tool Box” 标签;
2. 点击 “Decrypt Private Key”;
3. 输入私钥内容和私钥密码;
4. 保存解密后的私钥。
SSL证书续期
登陆SSL证书续期:
1. 登陆控制面板,选择 “Validations Wizard” 标签;
2. 选择 “Email Address Validation” 并点击 “Continue”;
3. 输入要验证的邮箱,然后点击 “Continue”;
4. 输入邮箱接收到的验证码并点击 “Finish”。
5. 选择 “Certificates Wizard” 标签;
6. 选择 “Certificate Target: S/MIME and Authentication Certificate”,点击 “Continue”;
7. Generate Private Key;
8. 选择邮箱;
9. Your S/MIME client certificate is installed in your browser;
10.在 Tool Box 中 Retrieve Certificate,选择新申请的邮箱, 点击 “Continue”。
域名SSL证书续期
按顺序重新进行上述的验证域名所有权,生成SSL证书,获取SSL证书各个步骤。
安装SSL证书:
I. Nginx:
如果没有在控制面板的 “Tool Box” 解密私钥,则在SSH使用下述命令解密:
openssl rsa -in ssl.key -out /etc/nginx/conf/ssl.key
设置私钥的权限:
chmod 600 /etc/nginx/conf/ssl.key
下载 Root CA 和 Class 1 Intermediate Server CA certificates:
wget http://www.startssl.com/certs/ca.pem wget http://www.startssl.com/certs/sub.class1.server.ca.pem
合并相关证书:
cat ssl.crt sub.class1.server.ca.pem ca.pem > /etc/nginx/conf/ssl-unified.crt
添加配置:
ssl on; ssl_certificate /etc/nginx/conf/ssl-unified.crt; ssl_certificate_key /etc/nginx/conf/ssl.key;
II. Apache
1. 下载 Root CA 和 Class 1 Intermediate Server CA certificates:
wget http://www.startssl.com/certs/ca.pem wget http://www.startssl.com/certs/sub.class1.server.ca.pem
2. http.conf 加载 mod_ssl 模块并监听 443 端口:
LoadModule ssl_module modules/mod_ssl.so Listen 443
3. 默认的虚拟机配置示例(根据需要更改相关参数):
DocumentRoot /home/httpd/private ErrorLog /usr/local/apache/logs/error_log TransferLog /usr/local/apache/logs/access_log SSLEngine on SSLProtocol all -SSLv2 SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM SSLCertificateFile /usr/local/apache/conf/ssl.crt SSLCertificateKeyFile /usr/local/apache/conf/ssl.key SSLCertificateChainFile /usr/local/apache/conf/sub.class1.server.ca.pem SSLCACertificateFile /usr/local/apache/conf//ca.pem CustomLog /usr/local/apache/logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
相关资源
免费 CLASS 1 SSL证书申请地址:
https://www.startssl.com
https://www.wosign.com