自从域名被GFW后就一直启用https访问本站,开始都是用StartSSL的免费证书,这个免费证书有效期只有一年,虽然也可以免费续期,但感觉到能找到便宜的证书一次买几年就没那么麻烦了。网上找到“最便宜的SSL证书”这篇博文,最后选定了最便宜的SSLs.com代理的Namecheap证书,5年起买每年只需要4.99美元,使用“MissedYou”优惠码还能再打9折。注:这个证书只能应用到根域名和www子域名上,支持其它子域名的泛域名原价要贵9倍多。
购买过程很简单,注册->购买->输入优惠码->确认订单->付款。付款成功后即可激活,激活过程可以参考“Namecheap购买的PositiveSSL证书激活使用教程”这篇博文。我的服务器是Nginx+OpenSSL,但选择证书类型时没有这个选项,我选择“Apache+OpenSSL”也没问题。在服务器上使用这个命令可以生成CSR串:
[bash]
openssl req -nodes -newkey rsa:2048 -keyout lordong_net.key -out server.csr
[/bash]
把上面命令生成的server.csr用记事本打开,粘贴到激活的第一步CSR输入框里。要注意Common Name处必须填自己的根域名,比如我的就填“lordong.net”,最后问密码时可以不需要填,填了之后每次Nginx启动都会问密码的,用这个方法可以去掉密码。
证书激活成功后会收到一个包含个人证书和关联证书的压缩包,直接放服务器上使用。在Nginx+OpenSSL上部署可以参考“Nginx上部署StartSSL的方法”。
默认情况下把上面生成的lordong_net.key和证书包里的lordong_net.crt部署后重启Nginx后IE、Chrome浏览器都没有问题,但Firefox会提示证书找不到关联证书,解决办法是把关联的根证书追加到crt证书上:
[bash]
mv lordong_net.crt lordong_net.crt.old #备份原证书
cat lordong_net.crt.old COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt > lordong_net.crt #把链证书从最底层往上合在一起
[/bash]
Tags: 域名/空间