折腾了一天终于自己将Comodo Positive Multi-Domain SSL Certificate证书安装成功了,一阵狂喜之后,分享下经验咯^^
apache服务器安装mod_ssl之后可以签署生成自己的证书(certificate)也就是crt文件,在ubutun 12系统中默认是存放在/etc/apache2/ssl/certs/中的,将default-ssl站点激活后此时访问https://IP是可以打开的,但是有警告语和标示。
为了更好的“访问体验”(地址栏上有黄色的安全标,有的还会是绿色的地址栏,信誉标记哦!),当然也是为了更加数据安全和预防钓鱼网站,使用加密数据HTTPS,第三方颁发的SSL证书就是必须的选择了。SSL分为很多种类和品牌,知名的是versign,价格和适用范围也差别很多,单纯验证域名真实性的证书价格低至40元RMB/年,所以,值得有条件有需求的站长去一试,一些CA颁发机构还提供免费(startssl.com比较出名,但似乎现在已经很难申请到了)以及免费试用的。
-
- 首先必须有一个独立IP和一个属于自己域名的可用邮箱(如webmaster@yourdomain.com)用来接收证书。IP和域名是对应的,也就是说,安装SSL之后访问IP地址打开的是你的SSL安装的域名站点。所以在ubutun系统默认安装下,事实上是需要修改/etc/apache2/site-enabled/default-ssl文件来安装的!本人就是没搞清楚这点,折腾了这么久>-<
- 申请过程很简单,首先要生成域名的私钥,这个是保存在服务器上的,是.key文件。这个文件丢失损坏只能重新申请了。.key文件和证书.crt必须有相同的md5值,否则也不能运行。可以运行
openssl x509 -noout -modulus -in certificate.crt | openssl md5 openssl rsa -noout -modulus -in privateKey.key | openssl md5来查看你的这两个关键文件是否吻合
- 设置文件中的关键语句
SSLEngine on SSLCertificateKeyFile /etc/ssl/ssl.key/server.key SSLCertificateFile /etc/ssl/ssl.crt/yourDomainName.crt SSLCertificateChainFile /etc/ssl/ssl.crt/yourDomainName.ca-bundle路径文件名可以随意设置,但.key必须是你申请证书是服务器生成的那个,crt文件是你收到的,而.ca-bundle是一个合并而成的“联系”证书,一般颁发方发给你文件中最大的那个就是了。简单的域名验证证书一般设置好这三个文件就够了。
最后为了安全,请将所有证书文件设置属性为400,即只能root查看。希望这篇对你有用哦!
参考链接: