SSL教程-域名证书的购买和生成

本教程以Namecheap提供的Comodo PositiveSSL 为例,讲解如何购买和申请SSL域名证书。

域名证书简单来说,是用以验证网站的所有单位的真实身份。

由于域名在解析到IP的过程中会被非法劫持到虚假IP地址。从而造成用户访问虚假网站并不知情。这样容易造成网络钓鱼等情况的发生。

而拥有可信域名证书的网站,将会在浏览器地址栏中的http协议 替换为加密的https 协议。并显示为绿色。当域名被劫持到虚假IP地址的时候。由于虚假IP的服务器中并没有安装合法的证书,所以浏览器会由绿色变为红色并警告用户,以提醒用户访问的网站域名已经被劫持。

通过在网站上配置可信网站发售的域名证书,才能被浏览器所信任。

一、准备(生成域名证书的私钥证书请求文件


 

利用SSH 工具登录到你的VPS中 (任意VPS,无需是安装SSL网站所在的服务器)

 

生成域名证书的私钥
openssl genrsa -out renao.pem 2048

20150617161722

 

利用私钥生成域名证书的请求文件
openssl req -new -sha256 -key renao.pem -out renao.csr

命令运行之后则要求输入证书相关信息,参照下图输入即可。

Country Name (2 letter code) [XX]:CN // 国家代码
State or Province Name (full name) []:Shanghai // 省份
Locality Name (eg, city) [Default City]:Shanghai // 城市
Organization Name (eg, company) [Default Company Ltd]:ReNao Technical Dept // 公司
Organizational Unit Name (eg, section) []:Technical Dept // 部门
Common Name (eg, your name or your server’s hostname) []:renao.org // 需要申请的域名
Email Address []:[email protected] // 邮箱

 

 

201506171619461

 

完成之后,就会在VPS的root目录生成两个文件  renao.pem / renao.csr

20150617173328

通过SFTP软件将这两个文件下载到本地,并保管好。

 

二、在Namecheap购买证书


 

注册Namecheap账户。并在SSL证书中挑选9美元这款 PositiveSSL

20150617155859

 

购买成功之后即可在控制面板中看到一个未激活的SSL。

20150617160514

*Namecheap购买证书成功之后可以过几天再请求SSL证书。

 

三、签发证书


 

进入证书管理界面,点击 “Activate Now”进行证书的申请。

20150617160526

 

在下一个界面中,选择“Apache+OpenSSL”,并且将刚才生成的csr(用文本编辑器打开) 粘贴到下面。并点击“Next”。

20150617162300

 

选择一个可以接收邮件的邮箱,点击下一步。

20150617162324

 

确认无误之后,点击“Submit Order”

20150617162354

 

接下来会提示“邮件确认阶段”。

20150617162414

 

打开邮箱,并用浏览器打开其中的网页,再将邮件内容中的密码输入到网页里,点击NEXT即可完成整个证书的申请过程。

20150617162915

 

再次回到你的邮箱,即可接收到Comodo发送过来并且带有附件的域名证书。

附件包含域名证书的所有证书链。下载之后和之前的renao.pem 保存好。

  • Root CA Certificate – AddTrustExternalCARoot.crt
  • Intermediate CA Certificate – COMODORSAAddTrustCA.crt
  • Intermediate CA Certificate – COMODORSADomainValidationSecureServerCA.crt
  • Your PositiveSSL Certificate – renao_org.crt

20150617183418

 

到此,证书申请完成。