Let's Encrypt - 靠谱又免费的SSL证书

SSL证书，用于加密HTTP协议，也就是HTTPS。随着淘宝、百度等网站纷纷实现全站Https加密访问，搜索引擎对于Https更加友好，加上互联网上越来越多的人重视隐私安全，给网站添加SSL证书似乎成为了一种趋势。

Let's Encrypt

Let's Encrypt是国外一个公共的免费SSL项目，由 Linux基金会托管，它的来头不小，由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起，目的就是向网站自动签发和管理免费证书，以便加速互联网由HTTP过渡到HTTPS，目前Facebook等大公司开始加入赞助行列。

Let's Encrypt已经得了 IdenTrust的交叉签名，这意味着其证书现在已经可以被Mozilla、Google、Microsoft和Apple等主流的浏览器所信任，你只需要在Web服务器证书链中配置交叉签名，浏览器客户端会自动处理好其它的一切，Let's Encrypt安装简单，未来大规模采用可能性非常大。

Let's Encrypt 的最有价值的贡献是它的 ACME 协议，第一份全自动服务器身份验证协议，以及配套的基础设施和客户端。这是为了解决一直以来HTTPS TLS X.509 PKI 信任模型，即证书权威（Certificate Authority, CA）模型缺陷的一个起步。

经过我的测试，推荐通过https://zerossl.com注册一个免费的SSL证书。

https://zerossl.com 申请免费SSL证书步骤的详细介绍：

一、登录https://zerossl.com，点击“ONLINE TOOLS" 按钮，选择在线方式申请免费SSL证书。

第一步、登录https://zerossl.com，选择在线申请方式

说明：这里也提供下载软件，安装在本地PC上，运行的办法。但由于这是国外网站，下载速度较慢，而且在线直接申请很简单，不推荐使用本地安装软件的方式。

二、点击“START"按钮，开始申请SSL证书

第二步、点击“START"按钮

三、配置

配置

1. “在第1步”的红色提示处，输入自己的电子邮箱。这是可选项，也可以选择不输入。

2. “在第2步”的红色提示处，输入需要Https加密访问的网址。

3. “在第3步”的红色提示处，必须勾选"HTTP verification"。

4. “在第4步”的红色提示处，"Accept ZeroSSL TOS"和"Accept Let's Encrypt SA(pdf)"。

5. “在第5步”的红色提示处，点击”NEXT"按钮。

6. 点击”NEXT"按钮后，页面有弹窗询问你是否生成没有"www"的网址的SSL证书格式。个人建议点击“No"按钮，因为在之后的验证环节，这种模式的在线验证有可能失败。

开始生成CSR

7. 选择是否生成没有"www"的网址的SSL证书格式的弹窗后，开始生成CSR，如上图所示，需要等一会儿。

CSR生成

8 . 如上图所示，CSR生成后，点击“NEXT"按钮，用于生成account key

正在生成RSA Private Key.

9. 如上图所示，又需要等一会儿，生成了下图所示的RSA Private Key. 建议点击红色方框所示的下载按钮下载已经生成RSA Private Key和CSR，以防之后验证失败或意外网络中断需要重复申请RSA Private Key和CSR。点击“NEXT”按钮进入验证环节。

四、验证

1. 进入验证页面后，根据要求使用get方式访问"http://你的网址Domain/.well-known/acme-challenge/下面页面File的字符串"时，可以得到页面中"Text"的字符串，以便实现验证。

验证页面

2. 为了达到验证的目的，可以使用2种方式，即在Nginx或Apache中设置静态访问文件， 或者修改web程序。我选择修改程序，以下是node.js的程序代码的例子：
----------------------------------------------------------------------------------------

router.get('/.well-known/acme-challenge/:id', function(req, res) {

  res.send('T8YJS_____________________________7tw8r5txSg');

});

----------------------------------------------------------------------------------------

3. 在服务器验证设置好后，在验证页面点击“NEXT”按钮进行验证。

五、 导出生成的SSL证书

导出生成的SSL证书

到了这个页面就生成了正式的SSL证书，请下载红色方块所示的证书和密钥。

注意：这个免费SSL证书有效期为90天，到期后可以免费续期，即重复这个注册过程，再次生成新的免费SSL证书。

注意：下载的证书文件的名称是"domain-crt.txt"，需要修改名称为"domain.crt"。

注意：下载的密钥的名称是domain-key.txt，需要修改名称为"domain.key"。

注意：记得一定要修改这两个文件，名称无所谓，但证书文件的文件扩展名必须是".crt", 密钥的文件扩展名必须是".key"。我在这里踩了坑，没有改扩展名，造成nginx找不到这两个文件。

六、设置web服务器

我的服务器用的是nginx，nginx的配置文件"nginx.conf"的代码如下：
--------------------------------------------------------------------------------------

user nginx;

worker_processes auto;

error_log /var/log/nginx/error.log;

pid /var/run/nginx.pid;

events {

     worker_connections 1024;

}

http {

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '

                                 '$status $body_bytes_sent "$http_referer" '

                                  '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile            on;

    tcp_nopush          on;

    tcp_nodelay        on;

    keepalive_timeout  65;

    types_hash_max_size 2048;

    include            /etc/nginx/mime.types;

    default_type        application/octet-stream;

    server {

         listen  80;

         server_name  需要访问的网址;

        rewrite ^(.*)$ https://$host$1 permanent;

        #强制见80端口的访问转到443的加密端口

        location / {

             proxy_set_header X-Real-IP $remote_addr;

             proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

             proxy_set_header Host $http_host;

             proxy_set_header X-NginX-Proxy true;

             proxy_pass http://localhost:2000/;

             proxy_redirect off;

         }

    }

    server {

        listen 443 ssl;

        server_name 需要访问的网址;

        ssl on;

        ssl_certificate 服务器存放ssl证书文件绝对路径/domain.crt;

        ssl_certificate_key 服务器存放ssl证书密钥文件绝对路径/domain.key;

        location / {

            proxy_set_header X-Real-IP $remote_addr;

            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

            proxy_set_header Host $http_host;

            proxy_set_header X-NginX-Proxy true;

            proxy_pass http://localhost:2000;

            proxy_redirect off;

        }

    }

}

----------------------------------------------------------------------------------------

对于Apache或者IIS的设置，我不太熟悉，请大家自行百度吧。

---

我也研究了一下其它提供免费SSL证书网站，向大家做个介绍，仅供参考：

StartCom

StartSSL是StartCom公司旗下的SSL证书，应该算是免费SSL证书中的“鼻祖”，最早提供完全免费的SSL证书并且被各大浏览器所支持的恐怕就只有StartSSL证书了。任何个人都可以从StartSSL中申请到免费一年的SSL证书。如果你有看新闻，也许已经知道了“Mozilla正式提议将停止信任 WoSign 和 StartCom 签发的新证书”，对于StartSSL请观察事态发展后再谨慎使用。

COMODO

COMODO官网只有免费90天的SSL证书试用申请，这个COMODOPositiveSSL证书来自UK2公司，VPS.net等就是UK2公司旗下的产品。目前获取UK2提供的免费COMODO PositiveSSL不需要额外的操作，只需要你先把域名解析到UK2公司的服务器上，然后在网页上获取SSL证书并下载，最后你就可以解除域名解析，同时将下载的域名证书文件上传到服务器配置SSL即可。不过由于是UK2提供的COMODO PositiveSSL免费证书，如果你没有用他们的主机总归不知道哪一天会出问题的。

CloudFlare

CloudFlare提供的免费SSL证书是UniversalSSL，即通用SSL，用户无需向证书发放机构申请和配置证书就可以使用的SSL证书，CloudFlare向所有用户(包括免费用户)提供SSL加密功能。不过Universal SSL的服务对免费用户有限制，CloudFlare只支持扩展支持Server Name Indication(SNI)协议的现代浏览器，这意味着它不支持IE6及之前版本、运行Android 2.2或更旧版本的Android浏览器。

Wosign沃通

Wosign沃通是国内一家提供SSL证书服务的网站，其免费的SSL证书申请比较简单，在线开通，一个SSL证书只能对应一个域名，支持证书状态在线查询协议(OCSP)。不过，受“Mozilla正式提议将停止信任WoSign 和 StartCom 签发的新证书”的影响，请观察后再决定是否使用。

腾讯云

腾讯云DV SSL 域名型证书由赛门铁克提供自动审核认证，快速签发，支持自动 CSR 生成、域名身份 DNS 自动验证，一步提交申请，审核签发流程全自动。可以一键部署到腾讯云资源。需要注意的是必须使用腾讯云才能够使用DV SSL 域名型证书，腾讯云可是收费的。

360网站卫士、百度云加速与Symantec等合作推出了免费的SSL证书，其实类似于上面的腾讯云DV SSL证书，只不过360网站卫士如果要使用SSL证书必须得实名认证而且还得使用他们家的CDN。而百度云加速则只能使用百度云服务器才可以申请免费SSL证书。