免费资源部落

StartSSL因为与360那点关系，导致Chrome和Firefox等浏览器开始对他们颁发的SSL证书不再信任，时间为一年。不过，这并不是说所有的SSL免费证书不能用，而只是其中的一部分不能使用了，所以如果你还在使用StartSSL免费SSL证书的话，就需要仔细检查一下了。

有朋友在新StartSSL免费SSL证书申请使用中留言说StartSSL获取免费SSL证书的步骤有些变化，新手操作时不知道如何下手。部落自己登录了StartSSL再次申请了一次，发现那篇文章关于StartSSL免费SSL申请与使用的方法都是可以的，就是在下载SSL证书文件时有些不同。

所以，本篇文章就来为新手朋友们整理一下新改版的StartSSL免费SSL证书获取及下载的详细方法。要说StartSSL与Let's Encrypt不同的地方，就是Let's Encrypt时效只有三个月，到期后就要续期，而StartSSL有效期现在一签发就是三年，大大方便了虚拟主机或者CDN等配置安装SSL证书。

更多的免费SSL证书，大家可以看看：

• 1、免费SSL证书小结：八大免费SSL证书-给你的网站免费添加Https安全加密
• 2、开源SSL免费SSL证书Let’s Encrypt安装使用教程:Apache和Nginx配置SSL
• 3、免费DV SSL证书和AlphaSSL Wildcard SSL证书申请-腾讯云SSL和loovit.net AlphaSSL

最新获取StartSSL免费3年SSL证书步骤及Nginx和Apache配置StartSSL方法

一、新版StartSSL账号登录注册

1、StartSSL官网：

• 1、官方网站：https://www.startssl.com/

2、没有StartSSL账号的，可以进入到官网然后点击“Sign Up”来注册一个账号。

3、已经在StartSSL注册过账号的，登录账号有两种方式：本地证书登录和一次性密码登录。

4、选择“One Time Password Login”的话，你的注册邮箱会收到一个验证码，这个就是你用来登录StartSSL的密码。

5、选择“Client Certificate Login”就会直接在浏览器中弹出是否使用证书验证登录，不用输入密码就可以登录到StartSSL账号了。

6、但是，如果你把之前申请StartSSL安装在本地电脑的证书掉了话，就只能选择使用一次性密码登录了。或者，你直接在StartSSL中生成一个新的本地密钥。

7、然后将StartSSL生成的密钥文件下载到本地。

8、再次在自己的电脑上安装StartSSL登录密钥即可。

二、新版StartSSL免费SSL申请

1、这是新版StartSSL的管理界面。

2、想要申请新版StartSSL免费SSL证书，你只要在管理界面的下方找到有Free SSL，然后点击进入。

3、接着，选择Free User (Not Validated)，点击申请。

4、需要说明的是，如果你还没有在StartSSL添加域名，你在点击申请SSL证书时会弹出提示：请选择添加域名。

5、StartSSL支持大部分域名。

6、添加的域名，要验证域名所有权。

7、只有域名通过了验证，才可以继续申请StartSSL免费SSL。

8、接下来还要验证你的邮箱。

三、生成CSR下载SSL证书文件

1、在申请StartSSL证书时，会要你生成CSR，这里也提供了三种方式：一种是浏览器上生成，这个需要插件但是不支持Chrome，另一种就是下载StartSSL的CSR生成软件。最后一种就是用VPS命令了，没有VPS的朋友可以放弃。

2、这里是StartCom Tool下载地址。启动StartCom Tool软件后，点击生成CSR，选择保存路径。

3、接下来就可以在CSR框内看到生成的CSR了。

4、将它们复制粘贴到StartSSL申请SSL中，点击提交。

5、最后，StartSSL免费SSL证书已经签发完成，你可以将StartSSL免费SSL证书文件下载下来了。

四、StartSSL免费SSL证书安装激活

1、点击下载下来的文件，你会看到有两个文件：Intermediate.crt和邮箱.crt，这两个就是SSL证书文件了。

2、你也可以通过Tool Box下的Certificate List来下载已经签发的SSL证书。

3、点击“Retrieve”下载的就是SSL证书文件了。

4、点击旁边的三角形，这时会有一个PEM文件可供下载了。

5、这个就是Key了。

6、在使用SSL证书前，记得把Intermediate.crt和邮箱.crt里面的内容合并一下，以免浏览器不信任我们的SSL证书。合并的方式就是直接将Intermediate.crt里面的内容复制到邮箱.crt中。

7、有上面的.crt和.key这两个文件，我们就可以直接在Apache和Ngnix安装配置StartSSL免费SSL证书了，直接将SSL证书的路径调整为新的StartSSL免费SSL证书路径。

8、接着重启Apache或者Nginx，刷新一下浏览器就可以看到StartSSL免费SSL证书已经成功安装在Apache或者Ngnix。

9、关于Apache和Ngnix配置SSL证书的教程，有兴趣的朋友可以看看这里：Ngnix配置Let's Encrypt免费SSL和Apache配置Let's Encrypt免费SSL。

五、关于PEM,DER,CRT,CER,KEY,CSR,PFX区别

1、在使用SSL证书的时候，由于不同的SSL商在提供SSL文件下载时经常会出现不同的PEM,DER,CRT,CER,KEY,CSR,PFX格式，这里主要给大家作一个说明，他们之间其实都是可以相互转换的。

2、编码格式：

• PEM - Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN..."开头, "-----END..."结尾,内容是BASE64编码.
  Apache和*NIX服务器偏向于使用这种编码格式.
• DER - Distinguished Encoding Rules,打开看是二进制格式,不可读.
  Java和Windows服务器偏向于使用这种编码格式.

3、文件扩展名：

这是比较误导人的地方,虽然我们已经知道有PEM和DER这两种编码格式,但文件扩展名并不一定就叫"PEM"或者"DER",常见的扩展名除了PEM和DER还有以下这些,它们除了编码格式可能不同之外,内容也有差别,但大多数都能相互转换编码格式.

• CRT - CRT应该是certificate的三个字母,其实还是证书的意思,常见于*NIX系统,有可能是PEM编码,也有可能是DER编码,大多数应该是PEM编码。
• CER - 还是certificate,还是证书,常见于Windows系统,同样的,可能是PEM编码,也可能是DER编码,大多数应该是DER编码.

4、KEY - 通常用来存放一个公钥或者私钥,并非X.509证书,编码同样的,可能是PEM,也可能是DER.

• 查看KEY的办法:openssl rsa -in mykey.key -text -noout
  如果是DER格式的话,同理应该这样了:openssl rsa -in mykey.key -text -noout -inform der

5、CSR - Certificate Signing Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请,其核心内容是一个公钥

6、PFX/P12 - predecessor of PKCS#12对*nix服务器来说,一般CRT和KEY是分开存放在不同文件中的,但Windows的IIS则将它们存在一个PFX文件中,(因此这个文件包含了证书及私钥)这样会不会不安全？应该不会,PFX通常会有一个"提取密码",你想把里面的东西读取出来的话,它就要求你提供提取密码,PFX使用的时DER编码,如何把PFX转换为PEM编码？

• openssl pkcs12 -in for-iis.pfx -out for-iis.pem -nodes
  这个时候会提示你输入提取代码. for-iis.pem就是可读的文本.
• 生成pfx的命令类似这样:openssl pkcs12 -export -in certificate.crt -inkey privateKey.key -out certificate.pfx -certfile CACert.crt
• 其中CACert.crt是CA(权威证书颁发机构)的根证书,有的话也通过-certfile参数一起带进去.这么看来,PFX其实是个证书密钥库.

7、JKS - 即Java Key Storage,这是Java的专利,跟OpenSSL关系不大,利用Java的一个叫"keytool"的工具,可以将PFX转为JKS,当然了,keytool也能直接生成JKS,不过在此就不多表了.

8、证书编码的转换：

• PEM转为DER openssl x509 -in cert.crt -outform der -out cert.der
• DER转为PEM openssl x509 -in cert.crt -inform der -outform pem -out cert.pem
• (提示:要转换KEY文件也类似,只不过把x509换成rsa,要转CSR的话,把x509换成req...)

9、几种典型的密码交换信息文件格式:

• DER-encoded certificate: .cer, .crt
  PEM-encoded message: .pem
  PKCS#12 Personal Information Exchange: .pfx, .p12
  PKCS#10 Certification Request: .p10
  PKCS#7 cert request response: .p7r
  PKCS#7 binary message: .p7b
  .cer/.crt是用于存放证书，它是2进制形式存放的，不含私钥。
  .pem跟crt/cer的区别是它以Ascii来表示。
  pfx/p12用于存放个人证书/私钥，他通常包含保护密码，2进制方式
  p10是证书请求
  p7r是CA对证书请求的回复，只用于导入
  p7b以树状展示证书链(certificate chain)，同时也支持单个证书，不含私钥

六、最新版StartSSL使用小结

1、新版StartSSL没有太大的变化 ，账号管理与证书下载等都与过去相同，唯一的变化就是CSR生成，提供了一个Windows工具，直接就可以在本地生成了，非常方便。而下载的SSL证书可以应用在Nginx、Apache、Windows等上。

2、要说使用StartSSL唯一要担心的就是各大主流浏览器不支持的情况了，目前来看StartSSL适合尝鲜的朋友使用，对于要求稳定的朋友可以先去使用Let’s Encrypt，或者是花9美元购买一年NameCheap SSL：Namecheap SSL证书购买。

文章出自：免费资源部落 部分内容参考cnblogs 版权所有。本站文章除注明出处外，皆为作者原创文章，可自由引用，但请注明来源。 禁止全文转载。