最新获取StartSSL免费3年SSL证书步骤及Nginx和Apache配置StartSSL方法
文章目录
- 账号登录注册
- 免费SSL申请
- 下载SSL证书
- SSL安装激活
- PEM,DER,CRT
- StartSSL 小结
StartSSL因为与360那点关系,导致Chrome和Firefox等浏览器开始对他们颁发的SSL证书不再信任,时间为一年。不过,这并不是说所有的SSL免费证书不能用,而只是其中的一部分不能使用了,所以如果你还在使用StartSSL免费SSL证书的话,就需要仔细检查一下了。
有朋友在新StartSSL免费SSL证书申请使用中留言说StartSSL获取免费SSL证书的步骤有些变化,新手操作时不知道如何下手。部落自己登录了StartSSL再次申请了一次,发现那篇文章关于StartSSL免费SSL申请与使用的方法都是可以的,就是在下载SSL证书文件时有些不同。
所以,本篇文章就来为新手朋友们整理一下新改版的StartSSL免费SSL证书获取及下载的详细方法。要说StartSSL与Let's Encrypt不同的地方,就是Let's Encrypt时效只有三个月,到期后就要续期,而StartSSL有效期现在一签发就是三年,大大方便了虚拟主机或者CDN等配置安装SSL证书。
更多的免费SSL证书,大家可以看看:
- 1、免费SSL证书小结:八大免费SSL证书-给你的网站免费添加Https安全加密
- 2、开源SSL免费SSL证书Let’s Encrypt安装使用教程:Apache和Nginx配置SSL
- 3、免费DV SSL证书和AlphaSSL Wildcard SSL证书申请-腾讯云SSL和loovit.net AlphaSSL
最新获取StartSSL免费3年SSL证书步骤及Nginx和Apache配置StartSSL方法
一、新版StartSSL账号登录注册
1、StartSSL官网:
- 1、官方网站:https://www.startssl.com/
2、没有StartSSL账号的,可以进入到官网然后点击“Sign Up”来注册一个账号。
3、已经在StartSSL注册过账号的,登录账号有两种方式:本地证书登录和一次性密码登录。
4、选择“One Time Password Login”的话,你的注册邮箱会收到一个验证码,这个就是你用来登录StartSSL的密码。
5、选择“Client Certificate Login”就会直接在浏览器中弹出是否使用证书验证登录,不用输入密码就可以登录到StartSSL账号了。
6、但是,如果你把之前申请StartSSL安装在本地电脑的证书掉了话,就只能选择使用一次性密码登录了。或者,你直接在StartSSL中生成一个新的本地密钥。
7、然后将StartSSL生成的密钥文件下载到本地。
8、再次在自己的电脑上安装StartSSL登录密钥即可。
二、新版StartSSL免费SSL申请
1、这是新版StartSSL的管理界面。
2、想要申请新版StartSSL免费SSL证书,你只要在管理界面的下方找到有Free SSL,然后点击进入。
3、接着,选择Free User (Not Validated),点击申请。
4、需要说明的是,如果你还没有在StartSSL添加域名,你在点击申请SSL证书时会弹出提示:请选择添加域名。
5、StartSSL支持大部分域名。
6、添加的域名,要验证域名所有权。
7、只有域名通过了验证,才可以继续申请StartSSL免费SSL。
8、接下来还要验证你的邮箱。
三、生成CSR下载SSL证书文件
1、在申请StartSSL证书时,会要你生成CSR,这里也提供了三种方式:一种是浏览器上生成,这个需要插件但是不支持Chrome,另一种就是下载StartSSL的CSR生成软件。最后一种就是用VPS命令了,没有VPS的朋友可以放弃。
2、这里是StartCom Tool下载地址。启动StartCom Tool软件后,点击生成CSR,选择保存路径。
3、接下来就可以在CSR框内看到生成的CSR了。
4、将它们复制粘贴到StartSSL申请SSL中,点击提交。
5、最后,StartSSL免费SSL证书已经签发完成,你可以将StartSSL免费SSL证书文件下载下来了。
四、StartSSL免费SSL证书安装激活
1、点击下载下来的文件,你会看到有两个文件:Intermediate.crt和邮箱.crt,这两个就是SSL证书文件了。
2、你也可以通过Tool Box下的Certificate List来下载已经签发的SSL证书。
3、点击“Retrieve”下载的就是SSL证书文件了。
4、点击旁边的三角形,这时会有一个PEM文件可供下载了。
5、这个就是Key了。
6、在使用SSL证书前,记得把Intermediate.crt和邮箱.crt里面的内容合并一下,以免浏览器不信任我们的SSL证书。合并的方式就是直接将Intermediate.crt里面的内容复制到邮箱.crt中。
7、有上面的.crt和.key这两个文件,我们就可以直接在Apache和Ngnix安装配置StartSSL免费SSL证书了,直接将SSL证书的路径调整为新的StartSSL免费SSL证书路径。
8、接着重启Apache或者Nginx,刷新一下浏览器就可以看到StartSSL免费SSL证书已经成功安装在Apache或者Ngnix。
9、关于Apache和Ngnix配置SSL证书的教程,有兴趣的朋友可以看看这里:Ngnix配置Let's Encrypt免费SSL和Apache配置Let's Encrypt免费SSL。
五、关于PEM,DER,CRT,CER,KEY,CSR,PFX区别
1、在使用SSL证书的时候,由于不同的SSL商在提供SSL文件下载时经常会出现不同的PEM,DER,CRT,CER,KEY,CSR,PFX格式,这里主要给大家作一个说明,他们之间其实都是可以相互转换的。
2、编码格式:
- PEM - Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN..."开头, "-----END..."结尾,内容是BASE64编码.
Apache和*NIX服务器偏向于使用这种编码格式. - DER - Distinguished Encoding Rules,打开看是二进制格式,不可读.
Java和Windows服务器偏向于使用这种编码格式.
3、文件扩展名:
这是比较误导人的地方,虽然我们已经知道有PEM和DER这两种编码格式,但文件扩展名并不一定就叫"PEM"或者"DER",常见的扩展名除了PEM和DER还有以下这些,它们除了编码格式可能不同之外,内容也有差别,但大多数都能相互转换编码格式.
- CRT - CRT应该是certificate的三个字母,其实还是证书的意思,常见于*NIX系统,有可能是PEM编码,也有可能是DER编码,大多数应该是PEM编码。
- CER - 还是certificate,还是证书,常见于Windows系统,同样的,可能是PEM编码,也可能是DER编码,大多数应该是DER编码.
4、KEY - 通常用来存放一个公钥或者私钥,并非X.509证书,编码同样的,可能是PEM,也可能是DER.
- 查看KEY的办法:openssl rsa -in mykey.key -text -noout
如果是DER格式的话,同理应该这样了:openssl rsa -in mykey.key -text -noout -inform der
5、CSR - Certificate Signing Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请,其核心内容是一个公钥
6、PFX/P12 - predecessor of PKCS#12对*nix服务器来说,一般CRT和KEY是分开存放在不同文件中的,但Windows的IIS则将它们存在一个PFX文件中,(因此这个文件包含了证书及私钥)这样会不会不安全?应该不会,PFX通常会有一个"提取密码",你想把里面的东西读取出来的话,它就要求你提供提取密码,PFX使用的时DER编码,如何把PFX转换为PEM编码?
- openssl pkcs12 -in for-iis.pfx -out for-iis.pem -nodes
这个时候会提示你输入提取代码. for-iis.pem就是可读的文本. - 生成pfx的命令类似这样:openssl pkcs12 -export -in certificate.crt -inkey privateKey.key -out certificate.pfx -certfile CACert.crt
- 其中CACert.crt是CA(权威证书颁发机构)的根证书,有的话也通过-certfile参数一起带进去.这么看来,PFX其实是个证书密钥库.
7、JKS - 即Java Key Storage,这是Java的专利,跟OpenSSL关系不大,利用Java的一个叫"keytool"的工具,可以将PFX转为JKS,当然了,keytool也能直接生成JKS,不过在此就不多表了.
8、证书编码的转换:
- PEM转为DER openssl x509 -in cert.crt -outform der -out cert.der
- DER转为PEM openssl x509 -in cert.crt -inform der -outform pem -out cert.pem
- (提示:要转换KEY文件也类似,只不过把x509换成rsa,要转CSR的话,把x509换成req...)
9、几种典型的密码交换信息文件格式:
- DER-encoded certificate: .cer, .crt
PEM-encoded message: .pem
PKCS#12 Personal Information Exchange: .pfx, .p12
PKCS#10 Certification Request: .p10
PKCS#7 cert request response: .p7r
PKCS#7 binary message: .p7b
.cer/.crt是用于存放证书,它是2进制形式存放的,不含私钥。
.pem跟crt/cer的区别是它以Ascii来表示。
pfx/p12用于存放个人证书/私钥,他通常包含保护密码,2进制方式
p10是证书请求
p7r是CA对证书请求的回复,只用于导入
p7b以树状展示证书链(certificate chain),同时也支持单个证书,不含私钥
六、最新版StartSSL使用小结
1、新版StartSSL没有太大的变化 ,账号管理与证书下载等都与过去相同,唯一的变化就是CSR生成,提供了一个Windows工具,直接就可以在本地生成了,非常方便。而下载的SSL证书可以应用在Nginx、Apache、Windows等上。
2、要说使用StartSSL唯一要担心的就是各大主流浏览器不支持的情况了,目前来看StartSSL适合尝鲜的朋友使用,对于要求稳定的朋友可以先去使用Let’s Encrypt,或者是花9美元购买一年NameCheap SSL:Namecheap SSL证书购买。
文章出自:免费资源部落 部分内容参考cnblogs 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 禁止全文转载。