StartSSL免费的HTTPS证书颁发机构及nginx 的ssl配置

http://www.biaodianfu.com/startssl.html


和VeriSign一样,StartSSL(网址:http://www.startssl.com,公司名:StartCom)也是一家CA机构,和VeriSign不同的是它的证书是完全免费的,无需缴纳每年上万元的费用,以前IE是没有StartSSL的根证书的,以至于一段时间IE都会将使用StartSSL证书的网站列为不受信任的网站,在09年9月份,StartSSL竟然搞定了微软:微软在升级补丁中,更新了通过Windows根证书认证程序(Windows Root Certificate Program)的厂商清单,并首次将StartCom公司列入了该认证清单,这是微软首次将提供免费数字验证技术的厂商加入根证书认证列表中。现在,在Windows 7或安装了升级补丁的Windows Vista或Windows XP操作系统中,系统会完全信任由StartCom这类免费数字认证机构认证的数字证书,从而使StartSSL也得到了IE浏览器的支持。

注册成为StartSSL(http://www.startssl.com)用户,并通过邮件验证后,就可以申请免费的可信任的SSL证书了。目前Startssl可以被Firefox、IE、Chrome、Safari正常识别颁发的证书,但是Opera浏览器还是不支持。

下面是为nginx配置startssl证书的方法:(配置Apache服务器官方已经有了教程)

前提条件:独立IP、Linux机器、StartSSL账户(申请,验证域名所有权这些都很简单)

首先要做的是为域名生成证书请求文件很密钥,需要生成2048位加密的证书请求。

openssl genrsa -des3 -out private.in.key 2048
openssl req -new -key theos.in.key -out csr.for.your.domain

进入startsll后台TooBox – “Retrieve Certification”即可

配置nginx还有些特别的地方要处理,如果不处理的话在IE下可用,但在Firefox会报错。需要下载 http://www.startssl.com/certs/sub.class1.server.ca.pem 和 http://www.startssl.com/certs/ca.pem
需要将sub.class1.server.ca.pem 文件中的内容和你域名的证书(Cert)合并为一个文件

ssl_certificate 合并后的域名证书;
ssl_certificate_key 申请域名证书时建立的私钥;
ssl_client_certificate 上面下载的ca.pem;

最后就是一些和其他SSL证书一样的问题,比如移除密钥的密码,免得每次启动服务器都提示输入密码。

openssl rsa -in the.key.that.has.passphase -out no.pwd.key


你可能感兴趣的:(StartSSL免费的HTTPS证书颁发机构及nginx 的ssl配置)