SSL证书,用于加密HTTP协议,也就是HTTPS。随着淘宝、百度等网站纷纷实现全站Https加密访问,搜索引擎对于Https更加友好,加上互联网上越来越多的人重视隐私安全,给网站添加SSL证书似乎成为了一种趋势。
Let's Encrypt是国外一个公共的免费SSL项目,由 Linux基金会托管,它的来头不小,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,目的就是向网站自动签发和管理免费证书,以便加速互联网由HTTP过渡到HTTPS,目前Facebook等大公司开始加入赞助行列。
Let's Encrypt已经得了 IdenTrust的交叉签名,这意味着其证书现在已经可以被Mozilla、Google、Microsoft和Apple等主流的浏览器所信任,你只需要在Web服务器证书链中配置交叉签名,浏览器客户端会自动处理好其它的一切,Let's Encrypt安装简单,未来大规模采用可能性非常大。
Let's Encrypt 的最有价值的贡献是它的 ACME 协议,第一份全自动服务器身份验证协议,以及配套的基础设施和客户端。这是为了解决一直以来HTTPS TLS X.509 PKI 信任模型,即证书权威(Certificate Authority, CA)模型缺陷的一个起步。
经过我的测试,推荐通过https://zerossl.com注册一个免费的SSL证书。
https://zerossl.com 申请免费SSL证书步骤的详细介绍:
一、登录https://zerossl.com,点击“ONLINE TOOLS" 按钮,选择在线方式申请免费SSL证书。
说明:这里也提供下载软件,安装在本地PC上,运行的办法。但由于这是国外网站,下载速度较慢,而且在线直接申请很简单,不推荐使用本地安装软件的方式。
二、点击“START"按钮,开始申请SSL证书
三、配置
1. “在第1步”的红色提示处,输入自己的电子邮箱。这是可选项,也可以选择不输入。
2. “在第2步”的红色提示处,输入需要Https加密访问的网址。
3. “在第3步”的红色提示处,必须勾选"HTTP verification"。
4. “在第4步”的红色提示处,"Accept ZeroSSL TOS"和"Accept Let's Encrypt SA(pdf)"。
5. “在第5步”的红色提示处,点击”NEXT"按钮。
6. 点击”NEXT"按钮后,页面有弹窗询问你是否生成没有"www"的网址的SSL证书格式。个人建议点击“No"按钮,因为在之后的验证环节,这种模式的在线验证有可能失败。
7. 选择是否生成没有"www"的网址的SSL证书格式的弹窗后,开始生成CSR,如上图所示,需要等一会儿。
8 . 如上图所示,CSR生成后,点击“NEXT"按钮,用于生成account key
9. 如上图所示,又需要等一会儿,生成了下图所示的RSA Private Key. 建议点击红色方框所示的下载按钮下载已经生成RSA Private Key和CSR,以防之后验证失败或意外网络中断需要重复申请RSA Private Key和CSR。点击“NEXT”按钮进入验证环节。
四、验证
1. 进入验证页面后,根据要求使用get方式访问"http://你的网址Domain/.well-known/acme-challenge/下面页面File的字符串"时,可以得到页面中"Text"的字符串,以便实现验证。
2. 为了达到验证的目的,可以使用2种方式,即在Nginx或Apache中设置静态访问文件, 或者修改web程序。我选择修改程序,以下是node.js的程序代码的例子:
----------------------------------------------------------------------------------------
router.get('/.well-known/acme-challenge/:id', function(req, res) {
res.send('T8YJS_____________________________7tw8r5txSg');
});
----------------------------------------------------------------------------------------
3. 在服务器验证设置好后,在验证页面点击“NEXT”按钮进行验证。
五、 导出生成的SSL证书
到了这个页面就生成了正式的SSL证书,请下载红色方块所示的证书和密钥。
注意:这个免费SSL证书有效期为90天,到期后可以免费续期,即重复这个注册过程,再次生成新的免费SSL证书。
注意:下载的证书文件的名称是"domain-crt.txt",需要修改名称为"domain.crt"。
注意:下载的密钥的名称是domain-key.txt,需要修改名称为"domain.key"。
注意:记得一定要修改这两个文件,名称无所谓,但证书文件的文件扩展名必须是".crt", 密钥的文件扩展名必须是".key"。我在这里踩了坑,没有改扩展名,造成nginx找不到这两个文件。
六、设置web服务器
我的服务器用的是nginx,nginx的配置文件"nginx.conf"的代码如下:
--------------------------------------------------------------------------------------
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
types_hash_max_size 2048;
include /etc/nginx/mime.types;
default_type application/octet-stream;
server {
listen 80;
server_name 需要访问的网址;
rewrite ^(.*)$ https://$host$1 permanent;
#强制见80端口的访问转到443的加密端口
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
proxy_set_header X-NginX-Proxy true;
proxy_pass http://localhost:2000/;
proxy_redirect off;
}
}
server {
listen 443 ssl;
server_name 需要访问的网址;
ssl on;
ssl_certificate 服务器存放ssl证书文件绝对路径/domain.crt;
ssl_certificate_key 服务器存放ssl证书密钥文件绝对路径/domain.key;
location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Host $http_host;
proxy_set_header X-NginX-Proxy true;
proxy_pass http://localhost:2000;
proxy_redirect off;
}
}
}
----------------------------------------------------------------------------------------
对于Apache或者IIS的设置,我不太熟悉,请大家自行百度吧。
我也研究了一下其它提供免费SSL证书网站,向大家做个介绍,仅供参考:
StartSSL是StartCom公司旗下的SSL证书,应该算是免费SSL证书中的“鼻祖”,最早提供完全免费的SSL证书并且被各大浏览器所支持的恐怕就只有StartSSL证书了。任何个人都可以从StartSSL中申请到免费一年的SSL证书。如果你有看新闻,也许已经知道了“Mozilla正式提议将停止信任 WoSign 和 StartCom 签发的新证书”,对于StartSSL请观察事态发展后再谨慎使用。
COMODO官网只有免费90天的SSL证书试用申请,这个COMODOPositiveSSL证书来自UK2公司,VPS.net等就是UK2公司旗下的产品。目前获取UK2提供的免费COMODO PositiveSSL不需要额外的操作,只需要你先把域名解析到UK2公司的服务器上,然后在网页上获取SSL证书并下载,最后你就可以解除域名解析,同时将下载的域名证书文件上传到服务器配置SSL即可。不过由于是UK2提供的COMODO PositiveSSL免费证书,如果你没有用他们的主机总归不知道哪一天会出问题的。
CloudFlare提供的免费SSL证书是UniversalSSL,即通用SSL,用户无需向证书发放机构申请和配置证书就可以使用的SSL证书,CloudFlare向所有用户(包括免费用户)提供SSL加密功能。不过Universal SSL的服务对免费用户有限制,CloudFlare只支持扩展支持Server Name Indication(SNI)协议的现代浏览器,这意味着它不支持IE6及之前版本、运行Android 2.2或更旧版本的Android浏览器。
Wosign沃通是国内一家提供SSL证书服务的网站,其免费的SSL证书申请比较简单,在线开通,一个SSL证书只能对应一个域名,支持证书状态在线查询协议(OCSP)。不过,受“Mozilla正式提议将停止信任WoSign 和 StartCom 签发的新证书”的影响,请观察后再决定是否使用。
腾讯云DV SSL 域名型证书由赛门铁克提供自动审核认证,快速签发,支持自动 CSR 生成、域名身份 DNS 自动验证,一步提交申请,审核签发流程全自动。可以一键部署到腾讯云资源。需要注意的是必须使用腾讯云才能够使用DV SSL 域名型证书,腾讯云可是收费的。
360网站卫士、百度云加速与Symantec等合作推出了免费的SSL证书,其实类似于上面的腾讯云DV SSL证书,只不过360网站卫士如果要使用SSL证书必须得实名认证而且还得使用他们家的CDN。而百度云加速则只能使用百度云服务器才可以申请免费SSL证书。