1.注册用户,需要填写你的姓名, 住址,邮箱等信息。住址越详细越好,邮箱一定是好用的。
我注册时因为地址写的不详细,StartSSL给我发了两次邮件询问详细住址。直到我写到几号楼,几单元几室才满意。
但是对方动作很快,我提交后马上给我邮件确认住址,我提供了详细住址后马上将激活链接发给了我。
2.注册完账户后要认证你的域名,一般选择邮件认证。同样会发一个验证邮件。
3.然后就可以做证书了。
注册过程最好用Firefox。
做证书的步骤:
1.生成私钥。 此时必须填写一个足够长的密码,然后会返回一个生成好的私钥。
2.选择域名,选择你刚才添加的那个根域名。
3.填写要做证书的二级域名
4.生成证书,将证书拷贝保存为.crt文件。
5.返回Tool Box,选择Decrypt Private Key,将刚才生成的私钥解密。填写刚才生成的私钥和密码,会得到一个解密的私钥,保存为.key文件。如果不解密的话,每次启动Nginx都要输入密码。。。
6.将crt文件和key文件上传到VPS。我上传到的目录和vhost同级,大家可根据自己的喜好。
7.为证书附加StartSSL的根域。我没测试不附加的话会有什么后果,根据网上教程说,不附加的话会有部分浏览器不认可,附加呗。
大部分情况下,此时证书仍不可用,原因是附加时造成了一处错误。。
用文本编辑器打开附加操作后的crt文件,找到
1
|
-----END CERTIFICATE----------BEGIN CERTIFICATE-----
|
在中间断开他,成为
1
|
-----END CERTIFICATE-----
|
2
|
-----BEGIN CERTIFICATE-----
|
然后配置Nginx,关键指令:
2
|
ssl_certificate /usr/local/nginx/conf/cert/xxxx.crt;
|
3
|
ssl_certificate_key /usr/local/nginx/conf/cert/xxxx.key;
|
4
|
ssl_session_timeout 15m;
|
6
|
ssl_protocols SSLv2 SSLv3 TLSv1;
|
7
|
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
|
8
|
ssl_prefer_server_ciphers on;
|
配置后发现,如果对同一个IP绑定多个域名的情况,使用不同的SSL证书会造成混乱。
在这找到了答案:http://xfeng.me/nginx-enable-tls-sni-support/
Nginx需要开启TLS SNI support
下面拷贝一下主要步骤
首先停止Nginx。。。
1.确认是否开启TLS SNI support
1
|
/usr/local/nginx/sbin/nginx -V
|
如果为TLS SNI support disable,则没有开启,需要重新编译Nginx。
正好我使用的也是LNMP0.8,照着文章说的做就可以了。
2.下载openssl包
定位到/root/lnmp0.8/,也就是安装LNMP时解压出来的位置
2
|
tar zxvf openssl-1.0.0d.tar.gz
|
3.编译。进入nginx文件夹,根据版本不同可能文件夹名不同
01
|
./configure --user=www --group=www --prefix=/usr/local/nginx \
|
02
|
--with-http_stub_status_module \
|
03
|
--with-http_ssl_module \
|
04
|
--with-http_gzip_static_module \
|
06
|
--with-openssl=../openssl-1.0.0d/
|
08
|
mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.old
|
09
|
cp objs/nginx /usr/local/nginx/sbin/nginx
|
10
|
/usr/local/nginx/sbin/nginx -t
|
4.最后再查看一下,确认是否已开启
重新开启Nginx即可,不必修改配置即可允许多个域名使用各自的证书文件。