本教程以Namecheap提供的Comodo PositiveSSL 为例,讲解如何购买和申请SSL域名证书。
域名证书简单来说,是用以验证网站的所有单位的真实身份。
由于域名在解析到IP的过程中会被非法劫持到虚假IP地址。从而造成用户访问虚假网站并不知情。这样容易造成网络钓鱼等情况的发生。
而拥有可信域名证书的网站,将会在浏览器地址栏中的http协议 替换为加密的https 协议。并显示为绿色。当域名被劫持到虚假IP地址的时候。由于虚假IP的服务器中并没有安装合法的证书,所以浏览器会由绿色变为红色并警告用户,以提醒用户访问的网站域名已经被劫持。
通过在网站上配置可信网站发售的域名证书,才能被浏览器所信任。
一、准备(生成域名证书的私钥及证书请求文件)
利用SSH 工具登录到你的VPS中 (任意VPS,无需是安装SSL网站所在的服务器)
生成域名证书的私钥
openssl genrsa -out renao.pem 2048
利用私钥生成域名证书的请求文件
openssl req -new -sha256 -key renao.pem -out renao.csr
命令运行之后则要求输入证书相关信息,参照下图输入即可。
Country Name (2 letter code) [XX]:CN // 国家代码
State or Province Name (full name) []:Shanghai // 省份
Locality Name (eg, city) [Default City]:Shanghai // 城市
Organization Name (eg, company) [Default Company Ltd]:ReNao Technical Dept // 公司
Organizational Unit Name (eg, section) []:Technical Dept // 部门
Common Name (eg, your name or your server’s hostname) []:renao.org // 需要申请的域名
Email Address []:xxx@renao.org // 邮箱
完成之后,就会在VPS的root目录生成两个文件 renao.pem / renao.csr
通过SFTP软件将这两个文件下载到本地,并保管好。
二、在Namecheap购买证书
注册Namecheap账户。并在SSL证书中挑选9美元这款 PositiveSSL
购买成功之后即可在控制面板中看到一个未激活的SSL。
*Namecheap购买证书成功之后可以过几天再请求SSL证书。
三、签发证书
进入证书管理界面,点击 “Activate Now”进行证书的申请。
在下一个界面中,选择“Apache+OpenSSL”,并且将刚才生成的csr(用文本编辑器打开) 粘贴到下面。并点击“Next”。
选择一个可以接收邮件的邮箱,点击下一步。
确认无误之后,点击“Submit Order”
接下来会提示“邮件确认阶段”。
打开邮箱,并用浏览器打开其中的网页,再将邮件内容中的密码输入到网页里,点击NEXT即可完成整个证书的申请过程。
再次回到你的邮箱,即可接收到Comodo发送过来并且带有附件的域名证书。
附件包含域名证书的所有证书链。下载之后和之前的renao.pem 保存好。
- Root CA Certificate – AddTrustExternalCARoot.crt
- Intermediate CA Certificate – COMODORSAAddTrustCA.crt
- Intermediate CA Certificate – COMODORSADomainValidationSecureServerCA.crt
- Your PositiveSSL Certificate – renao_org.crt
到此,证书申请完成。