我们经常需要用到SSL证书,本文总结了如何购买并使用单域名SSL证书,通配符证书类似。
我们可以在淘宝上随便挑一家SSL证书商家,根据具体需要选择能够支持PC、苹果或安卓的证书厂家即可,如COMODO等。此类证书通常比较廉价,跟域名绑定,一般要求申请人具有对应域名的管理邮箱地址(如admin@example.com)或能够修改域名解析:
在申请证书时,需要首先生成私钥,然后用私钥签出CSR(Certificate Signing Request)文件,我们可以使用OpenSSL进行这两个操作,不建议使用网上的各种生成工具:
在生成CSR的过程中,会要求我们填写如下的信息:
Country Name:使用国际标准组织(ISO)国码格式,填写2个字母的国家代号,如中国为CN;
State or Province Name:省份,比如Beijing;
Locality Name:城市,比如比如Beijing;
Organization Name:组织名称,比如填写公司名称的拼音;
Organizational Unit Name:组织部门名称,比如填写IT Department;
Common Name:传说中的CN;
Email Address:邮件地址;
A challenge password:可选;
An optional company name:可选;
其中需要注意的是:
1、根据证书厂家的要求指定密钥长度(默认是2048bit);
2、CommonName(CN)必须与对应的域名一致。请注意,对于单域名证书而言,www.example.com是一个网站,而test.example.com是另外一个网站;
3、为了确认我们对所申请的SSL服务器域名拥有管理权,证书厂商会发送验证邮件到指定的管理员邮箱中。 按照不同的证书厂商,一般需要是admin@example.com、postmaster@example.com之类的地址。
生成好CSR文件后,将其发送给商家:
然后等待接收证书厂商的验证邮件:
点击邮件中的URL完成验证:
此后会收到包含SSL证书的另一封邮件,标准的X.509证书即为压缩包中的.crt文件:
我们可以使用OpenSSL命令或直接在操作系统中查看证书文件:
接下来,就可以根据具体使用的Web容器(Nginx、Apache、IIS、Tomcat等)配置SSL证书已启用HTTPS了。
转载时请保留出处,违法转载追究到底:进城务工人员小梅 » HTTPS/SSL证书的申请、购买及使用