使用HTTPS

免费SSL

• 沃通
  在2016年9月29日凌晨零点停止签发免费SSL证书，重新恢复的时间还不确定。

• StartSSL
  无法在Chrome、Firefox上显示绿锁

• Let's Encrypt

使用Let's Encrypt

官方提供了Certbot来方便使用安装。

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
./certbot-auto
./certbot-auto certonly

在目录/etc/letsencrypt下会生成以下几个目录

accounts  archive  csr  keys  live  renewal

在live中有与域名同名文件，内有

cert.pem  chain.pem  fullchain.pem  privkey.pem

Nginx配置

ssl_certificate /etc/letsencrypt/live/xx.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/xx.com/privkey.pem;

注：privkey.pem为PKCS8格式，内容例：

-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----

如果需要转换成PKCS1格式，运行
openssl pkcs8 -in privkey.pem -nocrypt -out pri_key.pem
转换出的内容例：

-----BEGIN PRIVATE KEY-----
-----END PRIVATE KEY-----

需要改为：

-----BEGIN RSA PRIVATE KEY-----
-----END RSA PRIVATE KEY-----