申请AlwaysOnSSL免费一年证书
2018年4月18日更新,alwaysonssl.com网站已经打不开,似乎已经停止了服务.
现在对于大多数个人站点想上https,免费证书的选择越来越多了。大多新手通过各种文章里写的教程用的是Let’s Encrypt3个月免费证书,还有国内域名解析网站上主推的TrustAsia一年免费证书。秋水逸冰的博客上对于常用的免费证书做了总结,这里针对其中的AlwaysOnSSL免费证书的申请,一步步做个详细的介绍。
注:实际上AlwaysOnSSL签发的证书有效期是1年,不是6个月
注册AlwaysOnSSL账号
登陆AlwaysOnSSL网站,注册一个新账号,过程不赘述。
https://alwaysonssl.com
准备证书CSR(Certificate Signing Request)
在linux服务器上,先利用openssl软件包生成CSR。如果openssl事先没有安装,运行下面的命令安装。
|
1 2 |
[crayon-6006cf9384515787323698 inline="true" class="bash"]yum install openssl # CentOS apt-get install openssl # Debian/Ubuntu |
[/crayon]
假如要申请feiqy.com这个域名的证书,专门新建一个目录,放置相关的CSR及私钥文件.
|
1 2 3 4 5 6 |
[crayon-6006cf938451a752974622 inline="true" class="bash"]mkdir ~/feiqy.com.ssl cd ~/feiqy.com.ssl # 创建私钥 openssl genrsa -out feiqy.com.key 2048 # 利用上面的私钥,创建CSR openssl req -new -sha256 -key feiqy.com.key -out feiqy.com.csr |
[/crayon]
在执行上述命令的时候,openssl会提示一系列的问题,根据实际情况填写,主要是Common Name这一项要正确填写证书对应的域名。
Country: CN
State or Province: Shanghai
City or Locality: Shanghai
Common Name: feiqy.com
Organization Name: feiqy.com
Organization Unit: IT
Email Address: admin@feiqy.com
Challenge Password: 此项不填
CSR创建完成后,可以运行下面这条命令验证内容。
|
1 |
[crayon-6006cf938451d423700182 inline="true" class="bash"]openssl req -noout -text -in feiqy.com.csr |
[/crayon]
最后复制feiqy.com.csr文件的内容,准备提交到AlwaysOnSSL的申请页面上。
AlwaysSSL申请证书流程
第一步,填写需要申请证书的域名,勾选”I do have a Certificate Signing Request”,这里指的”Certificate Signing Request”就是先前生成的CSR文件内容。
第二步,将CSR文件的内容复制粘贴到页面中的文本框,然后准备验证域名所有权,这里使用DNS解析方式验证
第三步,AlwaysOnSSL会生成TXT解析记录值
需要这条TXT记录添加到DNS服务中
第四步,解析生效后,点击“Login & Continue”,不出意外证书会成功生成,Well Done!
进入个人账户,可以看到该域名的证书已经躺在My Certificates项下,提供下载。
由于本站用的web服务是基于nginx的,所以选择nginx版的证书下载。
服务端配置nginx证书
将下载好的nginx版本证书复制到服务端,命名为feiqy.com.pem,那么feiqy.com.ssl下会有这3个准备好的文件
私钥:feiqy.com.key
证书:feiqy.com.pem
CSR:feiqy.com.csr
编辑站点的nginx配置文件/usr/local/nginx/conf/vhost/feiqy.com.conf,加入以下内容,重点是前两行的证书路径。
|
1 2 3 4 5 6 7 8 9 10 11 |
[crayon-6006cf9384520389434259 inline="true" ]ssl_certificate /data/feiqy.com.ssl/feiqy.com.pem; ssl_certificate_key /data/feiqy.com.ssl/feiqy.com.key; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5; ssl_prefer_server_ciphers on; ssl_session_timeout 10m; ssl_session_cache builtin:1000 shared:SSL:10m; ssl_buffer_size 1400; add_header Strict-Transport-Security max-age=15768000; ssl_stapling on; ssl_stapling_verify on; |
[/crayon]
重启nginx服务后,访问站点,就能看到网站的证书已经正确配置好了。
本文出自扉启博客,转载时请注明出处及相应链接。
本文永久链接: https://www.feiqy.com/alwaysonssl-cert-application/
近期评论