所谓折腾嘛,本来个小破站,安全不安全的也没什么意思。。。本着折腾原则,申请了一下。
申请根据页面提示,不算难,就是有点麻烦。
大概流程是:
1.注册用户,需要填写你的姓名, 住址,邮箱等信息。住址越详细越好,邮箱一定是好用的。
我注册时因为地址写的不详细,StartSSL给我发了两次邮件询问详细住址。直到我写到几号楼,几单元几室才满意。
但是对方动作很快,我提交后马上给我邮件确认住址,我提供了详细住址后马上将激活链接发给了我。
2.注册完账户后要认证你的域名,一般选择邮件认证。同样会发一个验证邮件。
3.然后就可以做证书了。
注册过程最好用Firefox。
做证书的步骤:
1.生成私钥。 此时必须填写一个足够长的密码,然后会返回一个生成好的私钥。
2.选择域名,选择你刚才添加的那个根域名。
3.填写要做证书的二级域名
4.生成证书,将证书拷贝保存为.crt文件。
5.返回Tool Box,选择Decrypt Private Key,将刚才生成的私钥解密。填写刚才生成的私钥和密码,会得到一个解密的私钥,保存为.key文件。如果不解密的话,每次启动Nginx都要输入密码。。。
6.将crt文件和key文件上传到VPS。我上传到的目录和vhost同级,大家可根据自己的喜好。
7.为证书附加StartSSL的根域。我没测试不附加的话会有什么后果,根据网上教程说,不附加的话会有部分浏览器不认可,附加呗。
wget http://cert.startssl.com/certs/ca.pemcat ca.pem >> xxxx.crt
大部分情况下,此时证书仍不可用,原因是附加时造成了一处错误。。
用文本编辑器打开附加操作后的crt文件,找到
-----END CERTIFICATE----------BEGIN CERTIFICATE-----
在中间断开他,成为
-----END CERTIFICATE----------BEGIN CERTIFICATE-----
然后配置Nginx,关键指令:
ssl on;ssl_certificate /usr/local/nginx/conf/cert/xxxx.crt;
ssl_certificate_key /usr/local/nginx/conf/cert/xxxx.key;
ssl_session_timeout 15m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
配置后发现,如果对同一个IP绑定多个域名的情况,使用不同的SSL证书会造成混乱。
在这找到了答案:http://xfeng.me/nginx-enable-tls-sni-support/
Nginx需要开启TLS SNI support
下面拷贝一下主要步骤
首先停止Nginx。。。
1.确认是否开启TLS SNI support
/usr/local/nginx/sbin/nginx -V
如果为TLS SNI support disable,则没有开启,需要重新编译Nginx。
正好我使用的也是LNMP0.8,照着文章说的做就可以了。
2.下载openssl包
定位到/root/lnmp0.8/,也就是安装LNMP时解压出来的位置
wget http://www.openssl.org/source/openssl-1.0.0d.tar.gztar zxvf openssl-1.0.0d.tar.gz
3.编译。进入nginx文件夹,根据版本不同可能文件夹名不同
./configure --user=www --group=www --prefix=/usr/local/nginx--with-http_stub_status_module
--with-http_ssl_module
--with-http_gzip_static_module
--with-ipv6
--with-openssl=../openssl-1.0.0d/
make
mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.old
cp objs/nginx /usr/local/nginx/sbin/nginx
/usr/local/nginx/sbin/nginx -t
make upgrade
4.最后再查看一下,确认是否已开启
重新开启Nginx即可,不必修改配置即可允许多个域名使用各自的证书文件。