本文(wen)講述如何免費(fei)申請SSL證(zheng)書，并搭建https網站，由(you)于(yu)服務(wu)器是(shi)NGINX，順便(bian)會介紹(shao)如何安裝SPDY協議。

StartSSL介紹：

StartSSL是一家CA機構，它(ta)的根證書很久之(zhi)前就(jiu)被一些具有開源背景的瀏覽(lan)器(qi)(qi)支持（Firefox瀏覽(lan)器(qi)(qi)、谷(gu)歌Chrome瀏覽(lan)器(qi)(qi)、蘋果Safari瀏覽(lan)器(qi)(qi)等(deng)）。

在(zai)今年9月份，StartSSL竟然搞(gao)定了(le)(le)微軟：微軟在(zai)升級補丁(ding)中，更新了(le)(le)通過Windows根(gen)證(zheng)(zheng)書認(ren)(ren)證(zheng)(zheng)程序（Windows Root Certificate Program）的廠商(shang)清單，并(bing)首次(ci)將StartCom公司列入了(le)(le)該認(ren)(ren)證(zheng)(zheng)清單，這(zhe)是(shi)微軟首次(ci)將提供免費數字(zi)驗證(zheng)(zheng)技術(shu)的廠商(shang)加入根(gen)證(zheng)(zheng)書認(ren)(ren)證(zheng)(zheng)列表中。現(xian)在(zai)，在(zai)Windows 7或安裝了(le)(le)升級補丁(ding)的Windows Vista或Windows XP操(cao)作系(xi)統中，系(xi)統會完全信任由StartCom這(zhe)類(lei)免費數字(zi)認(ren)(ren)證(zheng)(zheng)機構認(ren)(ren)證(zheng)(zheng)的數字(zi)證(zheng)(zheng)書，從(cong)而使StartSSL也(ye)得到(dao)了(le)(le)IE瀏覽器的支(zhi)持。

StartSSL申請注意事項：

（1）需要一個域名(ming)(ming)(ming)，并(bing)開通域名(ming)(ming)(ming)郵箱(xiang)，郵箱(xiang)前綴為：webmaster這樣(yang)的信息，一定(ding)要開通一個webmaster@yourdomainname.com這樣(yang)的域名(ming)(ming)(ming)，這個會用來驗證(zheng)你的域名(ming)(ming)(ming)；

（2）申請(qing)時一定要(yao)填寫(xie)完整(zheng)正確(que)的信息(xi)(xi)，否則無法通過(guo)(guo)申請(qing)，我(wo)就是(shi)因(yin)為第(di)一次填寫(xie)的地(di)址信息(xi)(xi)不全，沒(mei)有通過(guo)(guo)，一般添寫(xie)正確(que)的地(di)址很(hen)快就會通過(guo)(guo)的；

（3）打開網站(zhan) 在control panel / sign-up 注(zhu)意(yi)填(tian)寫正確(que)資料。收到郵件后(hou)(hou)(hou)復制驗證(zheng)(zheng)碼(ma)。然(ran)后(hou)(hou)(hou)可以(yi)生成一(yi)個證(zheng)(zheng)書(shu)(shu)，注(zhu)意(yi)，startssl.com不是(shi)以(yi)用(yong)戶名、密碼(ma)來驗證(zheng)(zheng)用(yong)戶的(de)，是(shi)用(yong)證(zheng)(zheng)書(shu)(shu)來驗證(zheng)(zheng)用(yong)戶的(de)。所以(yi)生成證(zheng)(zheng)書(shu)(shu)后(hou)(hou)(hou)(火(huo)狐會(hui)導入證(zheng)(zheng)書(shu)(shu))，注(zhu)意(yi)備份證(zheng)(zheng)書(shu)(shu)。丟失證(zheng)(zheng)書(shu)(shu)后(hou)(hou)(hou)只(zhi)能重新注(zhu)冊。

（4）登錄后還要驗證(zheng)域(yu)名才能為該域(yu)名生成(cheng)SSL證(zheng)書，可(ke)以(yi)選擇在(zai)whois里的(de)郵(you)箱、hostmaster@domain、postmaster@domain或者(zhe)webmaster@domain

（5）然后就(jiu)可以(yi)在Certificates wizard里就(jiu)可以(yi)申請SSL證書了。

（6）有效期(qi)一年（到(dao)期(qi)前會(hui)收到(dao)郵件通知續期(qi)）。

申請流程：

所有的資(zi)料(liao)都最好使用正確的。因(yin)為(wei)注冊(ce)SSL是一(yi)件很嚴肅的事情。還有就是如果你的IP地址是在大陸，你輸入香港也(ye)是會(hui)被拒絕的。而且你的地址也(ye)是也(ye)是要詳細的。按照表單寫完以后點擊Continue按鈕。然后你填(tian)寫的郵箱(xiang)會(hui)收到(dao)一(yi)個驗(yan)證碼。 上面說大概需要等6個小(xiao)時收到(dao)通知，其實一(yi)般一(yi)兩(liang)分鐘就會(hui)出(chu)結果

打開你(ni)的(de)郵箱，把驗證碼(ma)輸入到(dao)你(ni)的(de)瀏覽(lan)器(qi)Code的(de)框里，然后(hou)繼續。

通過(guo)后，會收到通過(guo)驗證的(de)(de)郵(you)件，然后給你一個URL，輸入(ru)到瀏(liu)覽(lan)器中進(jin)行下一步安裝證書。如果彈出的(de)(de)窗口(kou)依然還(huan)讓你輸入(ru)Code，那則輸入(ru)郵(you)件下面(mian)鏈(lian)接的(de)(de)Code。

點擊Continue，接下來你的瀏覽(lan)器(qi)開(kai)始安裝私(si)鑰，相當(dang)于(yu)建立用戶(hu)名密碼

然后密鑰安(an)裝成功以后提示你(ni)開始(shi)安(an)裝證書。

證書安裝完(wan)畢以后會祝賀你一(yi)下。點擊(ji)完(wan)成。 這時給你會收(shou)到郵(you)件說你安裝好(hao)啦，可以使用了。

在Validations Wizard選擇里驗證(zheng)你(ni)的(de)(de)(de)域名。按照提示操作就行了，它會(hui)掃描(miao)你(ni)的(de)(de)(de)網站(zhan)上的(de)(de)(de)郵(you)箱(xiang)，然后列出(chu)來(lai)，會(hui)給你(ni)的(de)(de)(de)郵(you)箱(xiang)發一(yi)封信(xin)(xin)，所以你(ni)一(yi)定要有一(yi)個企業(ye)郵(you)箱(xiang)來(lai)收信(xin)(xin)的(de)(de)(de)。域名驗證(zheng)成功后，接下來(lai)申請域名SSL證(zheng)書。

點(dian)擊Certificates Wizard ，選擇(ze)下拉菜單中的Web Server SSL/TSL Certificate

然(ran)后進入下一(yi)步他會問你(ni)驗證(zheng)方式，這(zhe)一(yi)步如果你(ni)跳過需要在VPS上設置，具體可(ke)以見網站：//blog.nicky1605.com/the-free-ssl-configuration-startssl-on-nginx.html

如果沒有跳過，你必(bi)須(xu)設置密碼，不少于10位的。然(ran)后點擊下一步生成一段字符串

這一小的(de)操作中會出現兩(liang)段字條串，一段類似(si)這樣的(de)

• -----BEGIN RSA PRIVATE KEY-----
• Proc-Type: 4,ENCRYPTED
• DEK-Info: AES-256-CBC,1FBB7A12C5332861D52FEDFA2E3E7AE3
• ....

復制(zhi)內容(rong)保(bao)存為 /etc/ssl/certs/xxxx.crt

一段類似(si)這樣的

• ----BEGIN CERTIFICATE-----
• MIIGdTCCBV2gAwIBAgIDYTrWMA0GCSqGSIc3FQEBBQUAMIGMMQswCQYDVQQGEwJJ
• ...

復(fu)制內容(rong)保存為(wei) /etc/ssl/certs/xxxx.key

下面就是(shi)配置你(ni)的(de)VPS上的(de)NGINX服務器了(le)。

• vi /usr/local/nginx/conf/vhost/xxxx.conf

在Server里添加

• listen 443 ssl spdy;
• ssl                     on;
• ssl_certificate         /etc/ssl/certs/xxxx.crt;
• ssl_certificate_key     /etc/ssl/certs/xxxx.key;
• ssl_session_timeout     10m;
• ssl_protocols           SSLv2 SSLv3 TLSv1;
• ssl_ciphers             ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
• ssl_prefer_server_ciphers       on;

Shell 如果你想讓http跳(tiao)轉(zhuan)到https下，需要再加一段(duan)代(dai)碼(ma)

• if ($ssl_protocol = "") {
• rewrite ^/(.*)$ //www.domain.com/$1 permanent;
• }

Shell 如果(guo)出現循環重(zhong)定(ding)向(xiang)(xiang)，檢(jian)查(cha)(cha)下你的網站根(gen)目(mu)錄下，是否有.htaccess文(wen)件，因為我的服務器是lnmpa的，apache的重(zhong)定(ding)向(xiang)(xiang)文(wen)件還是會起作(zuo)用的，檢(jian)查(cha)(cha)下有無重(zhong)定(ding)向(xiang)(xiang)到http的，一般是301重(zhong)定(ding)向(xiang)(xiang)需要(yao)修改下。

上面這(zhe)些做完之后(hou)，還需要另(ling)外對(dui)firefox瀏覽(lan)器作一些配置更改

到/etc/ssl/certs/xxxx.crt所在目錄執行以下代碼

• wget //cert.startssl.com/certs/sub.class1.server.ca.pem

• ca.pem sub.class1.server.ca.pem >> xxxx.crt

Shell 就是向 xxx.crt里面追(zhui)加一(yi)些(xie)內容，這(zhe)樣(yang)firefox就不(bu)會提(ti)示證書不(bu)安(an)全了(le)。

下就(jiu)是重啟你(ni)的(de)nginx服務器，但這里(li)會提示你(ni)需要輸(shu)入(ru)Enter PEM pass phrase

總不能每次重啟都(dou)要輸入那個(ge)密碼吧，這(zhe)個(ge)可(ke)以(yi)跳(tiao)過(guo)的，方法按照我之前的一篇文(wen)章操作

//www.love4026.org/313864/lnmp%E4%B8%8Bnginx%E9%85%8D%E7%BD%AEssl%E5%AE%89%E5%85%A8%E8%AF%81%E4%B9%A6%E9%81%BF%E5%85%8D%E5%90%AF%E5%8A%A8%E8%BE%93%E5%85%A5enter-pem-pass-phrase/

SPDY協議安裝

你要先下(xia)載最(zui)新(xin)的(de) OpenSSL，比如 1.0.1e，這里是下(xia)載列表，紅色標注的(de)就是最(zui)新(xin)版了。因為前些時間的(de)openssl漏洞，現在linode好像自動已經升級到最(zui)新(xin)版1.0.1e了。

但還是需要(yao)下載，解壓(ya)

• cd /tmp
• wget //www.openssl.org/source/openssl-1.0.1e.tar.gz
• tar zxvpf openssl-1.0.1e.tar.gz

Shell   然后(hou)下(xia)載最新的Nginx

先用 /usr/local/nginx/sbin/nginx -V 這個是(shi)查看nginx安(an)裝(zhuang)了什么模塊 安(an)裝(zhuang)的(de)時候(hou)把這些都再加(jia)上

Shell wget //nginx.org/download/nginx-1.7.2.tar.gz
tar zxvf nginx-1.7.2.tar.gz
cd nginx-1.7.2
./configure --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-http_gzip_static_module --with-ipv6 --with-pcre --with-http_sub_module --with-http_spdy_module --with-openssl=/tmp/openssl-1.0.1e
mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.old
cp objs/nginx /usr/local/nginx/sbin/nginx
/usr/local/nginx/sbin/nginx -t
make upgrade
/usr/local/nginx/sbin/nginx -v      

上面(mian)需(xu)要注(zhu)意(yi)的是./configure –with-http_ssl_module –with-http_spdy_module –with-openssl=/tmp/openssl-1.0.1e 這是最小(xiao)安裝(zhuang)方(fang)法，你需(xu)要根(gen)據自己的配置(zhi)安裝(zhuang)，上面(mian)是lnmpa下面(mian)的。

–with-openssl=/tmp/openssl-1.0.1e 路徑就(jiu)是剛下載的那個(ge)路徑。

再配置完成(cheng)后(hou)，執行 /etc/init.d/nginx reload 或(huo) /usr/local/nginx/sbin/nginx -s reload 重載(zai) Nginx 配置文件即(ji)可正常(chang)訪問了。

如果你不想使(shi)用(yong) SPDY ，記得(de)修(xiu)改Server里的 listen 443 ssl spdy; 改為 listen 443 ssl;

如何查看有沒有啟用SPDY成功沒

在(zai)Chrome瀏覽(lan)器里打開 chrome://net-internals/#spdy 便能查(cha)看目前使(shi)用SPDY的連接(jie)。

或(huo)者使用(yong)插件查看， //chrome.google.com/webstore/detail/spdy-indicator/mpbpobfflnpcgagjijhmgnchggcjblin

補充：關于 “此網頁包含的腳本來自于身份未經驗證的源” 的提示信息

出現這個一般是因為在網頁內容(rong)中加載(zai)了(le)其它不帶https的內容(rong)，比(bi)如(ru)加載(zai)了(le)google font

<link href='//fonts.googleapis.com/css?family=Antic+Slab' rel='stylesheet' type='text/css'>

XHTML 一般解決辦法(fa)就是把資源下(xia)載到本地(di)，然后使用相對路徑，或者使用https的資源地(di)址(zhi)。

 google 支(zhi)持https連接(jie)，上面的情況(kuang)你可以直接(jie)改(gai)為：

<link href='//fonts.googleapis.com/css?family=Antic+Slab' rel='stylesheet' type='text/css'>