為網(wǎng)站申請(qǐng)和配置StartSSL的SSL證書的全過程圖文講解

發(fā)布時(shí)間：2024-07-26

startssl算是比較早提供免費(fèi)ssl證書的第三方提供商，我們可以免費(fèi)申請(qǐng)且免費(fèi)續(xù)期使用到有需要https網(wǎng)址的用戶。關(guān)于網(wǎng)站使用ssl證書主要還是因?yàn)楣雀柙谙驅(qū)дf明中提到如果一個(gè)網(wǎng)站使用到ssl證書會(huì)有一定的排名優(yōu)勢，雖然百度等搜索引擎也宣布支持ssl證書的索引，但是到目前為止我們看到較多的還是用于英文或者針對(duì)谷歌等海外搜索引擎中的用戶居多。
無論我們使用startssl免費(fèi)證書還是使用付費(fèi)證書，從手冊(cè)中并沒有看到有哪些區(qū)別，對(duì)于僅僅需要一個(gè)小鎖標(biāo)志的用戶來說這個(gè)無所謂，免費(fèi)的其實(shí)也可以用的，如果我們過分的糾結(jié)免費(fèi)與付費(fèi)ssl的區(qū)別，那我們還是購買一個(gè)付費(fèi)ssl，如今付費(fèi)ssl也很便宜，比如在namecheap購買最便宜僅需要3.99美元一年。
如今ssl證書已經(jīng)變得非常的普及，比如后面小編準(zhǔn)備分享的let\’s encrypt免費(fèi)ssl已經(jīng)開始公測，得到大部分第三方瀏覽器、權(quán)威網(wǎng)站的認(rèn)可，所以如果以后我們網(wǎng)站需要用到ssl證書實(shí)現(xiàn)https網(wǎng)址格式，可選擇的免費(fèi)ssl渠道還是很多的。
第一、startssl官方網(wǎng)站 官方網(wǎng)站：https://www.startssl.com
進(jìn)入startssl官方網(wǎng)站之后，我們?nèi)绻切掠脩簦蔷托枰猻ign-up新注冊(cè)賬戶。
第二、新注冊(cè)startssl賬號(hào)
這里默認(rèn)會(huì)根據(jù)ip地址選擇國家，如果選擇的不對(duì)我們需要自己選擇一個(gè)，然后輸入郵箱點(diǎn)擊激活驗(yàn)證碼，會(huì)發(fā)送一個(gè)激活驗(yàn)證碼到我們的郵箱中。
這里我們輸入驗(yàn)證碼，然后點(diǎn)擊sign up即可注冊(cè)完畢。將會(huì)自動(dòng)將startssl官方網(wǎng)站登錄證書安裝到瀏覽器中，我們以后登錄startssl官方網(wǎng)站是不需要輸入用戶名和密碼的，直接就可以點(diǎn)擊authenticate 登錄到startssl用戶管理面板界面。
第三、申請(qǐng)免費(fèi)startssl證書 startssl商家也不是完全提供免費(fèi)ssl證書的，也有提供付費(fèi)證書，畢竟人家也是要維系收支的，如果以后我們有錢了，也去購買人家的付費(fèi)ssl使用。
1、選擇免費(fèi)ssl證書
在后臺(tái)面板中我們可以看到很多付費(fèi)的ssl證書，具體的有什么特別之處我也不去了解了，這里找到上圖所示的位置，看到是免費(fèi)證書就是我們要找的，點(diǎn)擊here鏈接進(jìn)入下一步看看需要點(diǎn)什么資料才可以申請(qǐng)到。
2、選擇ssl應(yīng)用類型
這里使用類型有web server ssl/tls certificate、client s/mime and authentication certificate兩種，一般我們選擇第一種。
3、驗(yàn)證域名所有權(quán)
我們選擇使用到網(wǎng)站中肯定需要對(duì)需要用的域名進(jìn)行驗(yàn)證，要不就亂套了?？吹缴蠄D所示點(diǎn)擊\”domain validation\”進(jìn)行域名驗(yàn)證。
這里我們需要用到域名中，那就選擇domain validation選項(xiàng)。
這里小編僅僅是為了測試startssl免費(fèi)ssl證書的申請(qǐng)過程，也沒有準(zhǔn)備用到實(shí)際的網(wǎng)站中，所以暫且用laobuluo.com其中一個(gè)二級(jí)域名作為申請(qǐng)證書測試。
這里我們選擇一個(gè)可以用的郵箱然后點(diǎn)擊send verification code按鈕發(fā)送郵件，然后收到的激活碼輸入后點(diǎn)擊validation按鈕驗(yàn)證。這里需要注意的，如果我們沒有域名郵局，會(huì)自動(dòng)檢索whois郵箱，如果我們有隱私保護(hù)的，那可以先取消，等接受到后再開啟隱私保護(hù)。這里我用的是\”webmaster@laobuluo.com\”域名郵局，所以選擇后接受驗(yàn)證。
這里驗(yàn)證完畢且申請(qǐng)域名激活驗(yàn)證后，我們可以繼續(xù)申請(qǐng)免費(fèi)ssl證書。
4、申請(qǐng)免費(fèi)域名ssl證書
（1）填寫申請(qǐng)的域名
我們可以最多填寫包含\”laobuluo.com\”5個(gè)子域名，一行一個(gè)，startssl免費(fèi)ssl只能支持5個(gè)，如果需要多個(gè)，那就需要購買付費(fèi)服務(wù)。
（2）填寫csr
如果有閱讀過之前的幾篇文章的時(shí)候，如果我們使用的vps，那在申請(qǐng)ssl證書的時(shí)候需要填寫csr，這個(gè)csr我們可以直接在vps中生成。
復(fù)制代碼代碼如下:
openssl req -new -newkey rsa:2048 -nodes -keyout laobuluo.com.key -out laobuluo.com.csr
執(zhí)行命令后我們需要將laobuluo.com.csr的腳本復(fù)制黏貼進(jìn)去就可以了。這里我們要隨機(jī)應(yīng)變，如果使用的虛擬主機(jī)、一鍵包等環(huán)境，可能會(huì)自動(dòng)生成csr，然后我們根據(jù)指定的路徑復(fù)制過來就可以。
如果我們并不是用的vps或者暫時(shí)還沒準(zhǔn)備去使用，跟小編一樣先申請(qǐng)下來，后面再去使用，那就選擇startssl自帶的pki系統(tǒng)生成csr。
這里我們輸入10位以上的密碼，讓系統(tǒng)給我們自動(dòng)生成csr，這里我們一定要記住密碼，后面估計(jì)獲取ssl的時(shí)候需要用到。
這個(gè)密鑰我們一定要保存好，下載或者復(fù)制到本地保存，后面我們肯定需要用到的，要不給我們這個(gè)做什么呢？保存好之后點(diǎn)擊submit提交。到目前為止，我們startssl免費(fèi)ssl證書就申請(qǐng)完畢，但不是立即開通的需要等待審核郵件發(fā)送過來我們才可以下載證書去使用到網(wǎng)站。
ps：這個(gè)時(shí)間過程有可能十幾分鐘，也有幾個(gè)小時(shí)，我們只能等待。
第四、startssl免費(fèi)ssl證書的下載和使用 小編記得以前是需要十幾分鐘甚至幾個(gè)小時(shí)才可以下載和使用的，現(xiàn)在好像可以立即使用，看來官方的效率提高很多。
我們可以看到startssl證書后臺(tái)還是比較清晰的，一般的工具我們不需要用到，如果后面小編在實(shí)際用途的時(shí)候需要用到在補(bǔ)充。這里我們需要做的就是將證書下載下來。默認(rèn)是免費(fèi)1年，到期之前是可以續(xù)約的，也是免費(fèi)的。
這里我們看到下載的ssl證書壓縮包就比較明了吧。根據(jù)我們網(wǎng)站的環(huán)境，然后對(duì)應(yīng)使用各自壓縮包中的ssl證書文件部署到網(wǎng)站中就可以。
這里我以nginx下的wordpress為例講一個(gè)小問題。
按照startssl的文檔一步步的來。不過我是直接選擇在 https://startssl.com/certificates 中設(shè)置「certificate signing request (csr)」>「generated by pki system」，又因?yàn)樵诰€生成證書這一步必須得輸入密碼，所以導(dǎo)致下面的問題（上傳自己在服務(wù)器上生成的證書可能不會(huì)碰到這個(gè)問題）：
每次 啟動(dòng)/重啟 nginx的時(shí)候都提示：
stoping nginx… enter pem pass phrase:
根據(jù)網(wǎng)上的解答：這種情況可能是在設(shè)置私鑰key時(shí)將密碼設(shè)置寫入了key文件，導(dǎo)致nginx/apache等系列服務(wù)器在啟動(dòng)時(shí)要求enter pem pass phrase。我們需要做的是剝離這個(gè)密碼，利用如下openssl命令生成 server.key.unsecure 文件：
復(fù)制代碼代碼如下:
openssl rsa -in server.key -out server.key.unsecure
opensslrsa -in server.key -outserver.key.unsecure
然后修改 nginx.conf 配置文件中的：
復(fù)制代碼代碼如下:
ssl_certificate_key /etc/nginx/certs/server.key.unsecure;
ssl_certificate_key /etc/nginx/certs/server.key.unsecure;
重新加載一下nginx的配置文件即可看到效果。
第五、startssl免費(fèi)ssl證書申請(qǐng)總結(jié) 通過以上的步驟申請(qǐng)到startssl免費(fèi)ssl證書的過程還是比較簡單的，至少比以前老版本界面的時(shí)候小編也有申請(qǐng)過，那時(shí)候需要幾個(gè)小時(shí)等待激活郵件和申請(qǐng)開通確認(rèn)。上面的步驟如果不是要記錄下來，一般十分鐘就可以解決問題。
如果我們是簡單的站點(diǎn)用途，并不是商業(yè)用途，startssl免費(fèi)ssl證書是足夠使用的，至少目前也沒有聽到說用免費(fèi)的還是付費(fèi)的有多大的區(qū)別。如果我們有需要使用到免費(fèi)ssl證書到網(wǎng)站中的，也不凡申請(qǐng)startssl證書玩玩。