comodo SSL证书安装成功

折腾了一天终于自己将Comodo Positive Multi-Domain SSL Certificate证书安装成功了,一阵狂喜之后,分享下经验咯^^

apache服务器安装mod_ssl之后可以签署生成自己的证书(certificate)也就是crt文件,在ubutun 12系统中默认是存放在/etc/apache2/ssl/certs/中的,将default-ssl站点激活后此时访问https://IP是可以打开的,但是有警告语和标示。

为了更好的“访问体验”(地址栏上有黄色的安全标,有的还会是绿色的地址栏,信誉标记哦!),当然也是为了更加数据安全和预防钓鱼网站,使用加密数据HTTPS,第三方颁发的SSL证书就是必须的选择了。SSL分为很多种类和品牌,知名的是versign,价格和适用范围也差别很多,单纯验证域名真实性的证书价格低至40元RMB/年,所以,值得有条件有需求的站长去一试,一些CA颁发机构还提供免费(startssl.com比较出名,但似乎现在已经很难申请到了)以及免费试用的。

    1. 首先必须有一个独立IP和一个属于自己域名的可用邮箱(如webmaster@yourdomain.com)用来接收证书。IP和域名是对应的,也就是说,安装SSL之后访问IP地址打开的是你的SSL安装的域名站点。所以在ubutun系统默认安装下,事实上是需要修改/etc/apache2/site-enabled/default-ssl文件来安装的!本人就是没搞清楚这点,折腾了这么久>-<
    2. 申请过程很简单,首先要生成域名的私钥,这个是保存在服务器上的,是.key文件。这个文件丢失损坏只能重新申请了。.key文件和证书.crt必须有相同的md5值,否则也不能运行。可以运行
      openssl x509 -noout -modulus -in certificate.crt | openssl md5
      openssl rsa -noout -modulus -in privateKey.key | openssl md5

      来查看你的这两个关键文件是否吻合

    3. 设置文件中的关键语句
      
      SSLEngine on
      SSLCertificateKeyFile /etc/ssl/ssl.key/server.key
      SSLCertificateFile /etc/ssl/ssl.crt/yourDomainName.crt
      SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle

      路径文件名可以随意设置,但.key必须是你申请证书是服务器生成的那个,crt文件是你收到的,而.ca-bundle是一个合并而成的“联系”证书,一般颁发方发给你文件中最大的那个就是了。简单的域名验证证书一般设置好这三个文件就够了。

最后为了安全,请将所有证书文件设置属性为400,即只能root查看。希望这篇对你有用哦!

参考链接:

http://www.metsky.com/archives/561.html

证书和私钥验证

第三方SSL证书安装

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据