比尔盖子今年已经很少再写像2010、2011年那样的指南了,太懒了,但是这一篇是一定要写的!
何为SSL?
安全套接层(Secure Sockets Layer, SSL)是网景公司提出的协议。SSL采用公开密钥技术,保证两个应用间通信的保密性和可靠性,使客户与服务器应用之间的通信不被攻击者窃听。
何为HTTPS?
超文本传输安全协议(HTTPS, Hypertext Transfer Protocol Secure)是超文本传输协议和SSL/TLS的组合,用以提供加密通讯及对网络服务器身份的鉴定。HTTPS连接经常被用于万维网上的交易支付和企业信息系统中敏感信息的传输。
也就是说,工作在SSL之上的HTTP就是HTTPS。
“受信任的签发者”
SSL是基于证书的,你自然可以自己签发自己的证书。但是,如果大家都签发自己证书,将会造成混乱和安全问题。因此,现代的浏览器和操作系统通常只会信任 受信任的签发机构签发的证书——而这种证书就是收费的了。
生成私钥和CSR
CSR是证书请求文件的缩写。它包括了用户的基本信息以及一个密钥。你需要填写信息来生成CSR文件,并提供给证书服务商。证书服务商需要通过CSR文件来生成证书。
在较新版本的OpenSSL中,生成CSR和私钥已经能一行搞定:
#建议将domain替换成自己的域名
openssl req -new -nodes -newkey rsa:2048 -keyout domain.key -out domain.csr
OpenSSL会要求您填写一些相关的个人资料,不强制如实填写(但为了规范起见,还是建议尽量按照实际情况填写CSR的相关信息),但是Common Name必须填写您网站需要使用SSL的域名。如果是中文域名,Common Name必须使用通用域名——就是中文域名对应的那个像乱码一样的域名。
填写完相关的资料后,就会生成CSR和私钥,分别为domain.csr和domain.key。CSR文件需要在稍后提供给证书服务商,而私钥文件则需要和最终获得的证书一起使用,因此均需要妥善保管。
购买并获得证书
当您在Verisign或其它证书服务商或代理商付费并购买证书后,您并不能得到可用的证书,因为他们需要根据您的CSR文件来生成一个证书。您需要来到服务商的相关页面进行操作。
比尔盖子使用的是Namecheap代理的Comodo提供的证书。并且,由于比尔盖子已经签发过证书,但需要重新签发,因此可以看到提示是Reissue,并不是New之类的状态。不过由于重新签发证书的过程与全新签发基本一致,因此不用担心。
输入CSR
这时,需要将CSR文件中的内容原封不动的粘贴到下面的文本框里面。为了避免文本编辑器破坏CSR文件,建议在终端模拟器中使用:
cat domain.csr
来得到文件内容,并复制粘贴到文本框中,点击Next。
选择确认邮箱
很快就会来到第二个页面,这个页面中,可以看到,自己之前CSR文件中的信息被解释出来了,可以核对一下。核对完之前,就要选择适当的邮箱了——进一步信息将会发至邮箱。
注意,为了防止他人恶意为不属于自己的域名申请证书,所以邮箱必须是:
- 常用的域名邮箱:admin@xxx.com, webmaster@xxx.com
- 你注册域名时,在Whois信息中填写的邮箱
如果这里面没有您的邮箱,请不要随意选择。您可以:1.到Whois信息中修改自己的邮箱,再刷新页面,重复粘贴CSR的步骤;2.申请一个属于自己的域名邮箱,并等待生效(最长24小时)后再说。如果提示您邮箱无效,是否要继续,就要注意了。 由于比尔盖子已经有了admin@biergaizi.com,就直接选择了。
填写接收邮箱和个人信息
我们可以看到,在这里,我们有需要填写一次电子邮箱。刚才填写的,是可能会用于确认域名所有权的电子邮箱,而现在则需要填写接收证书的电子邮箱。两个邮箱建议使用同一个,可以省去中间的确认步骤。
接下来,需要填写个人信息。这个个人信息是证书提供商备案用的,不会出现在最终网站访客可以看到的证书文件中,所以请如实填写。
告一段落,等待邮件
下一步,我们可以看到如下画面。提交CSR文件的步骤已经大功告成了。接下来的几个小时,会有一封确认邮件发送至您的确认邮箱中。
确认邮件
很快,就会有一封电子邮件发送至您的确认邮箱中。我们只需要点击提供的链接,并复制粘贴输入下面的黑体验证码即可。
输入验证码
输入验证码没有什么特殊的,只是记住如果出错,不要使用浏览器的“前进”或者“后退”按钮,而是要重新打开链接并开始。
证书来了
在完成验证后的几个小时之内,证书就将通过邮件附件发送给你。对于Comodo,会收到两封邮件。其中一封是关于SSL标志的邮件,没什么用;另一封则是我们想要的证书。
配置服务器
这个下次再写……
0 Comments
3 Pingbacks