购买合适的SSL并在Apache中配置启用

购买SSL

买国内还是国外?

国内价格普遍偏贵(但是服务较好,不用花心思查资料了)而且可以开发票,国外价格优惠但是英文不好的话过程很长(翻译和查资料解决),没有发票或者是电子发票。

那么国内和国外价格到底差距多大呢?如果你是公司,你想买EV证书(先别管EV是什么,晚点说),因为它能提供组织单位的证明,并且在link上显示出来。

国内EV报价:

赛门铁克的报价是4W起步,其他机构也是8k起步。而且大部分是代办,跟你直接在国外购买效果是一样的。

国外EV报价:

国外的话大概在80$~300$左右,折合人民币大约500~2000左右,还是很优惠的吧。

 

证书选购

今天说的是在国外的网站购买SSL证书,有很多,但是我选择的是http://www.cheapsslsecurity.com

cheap-ssl-security-logo

证书简介

最常见的证书分为DV(单域名/多域名)、EV(适合企业)、SAN(多域名)、WildCard(泛域名)

如果你是个人站长或者只有网站需要SSL,可以考虑DV。

如果你希望你的企业和组织信息显示在link上,可以考虑EV。

如果你是商城或者有多个子域名,你应该视情况在SAN和WildCard中选择一个,SAN是在你的认证资料的基础上每增加一个域名收取一次费用,方便以后增加其他域名时的一种选择(域名越多,总体费用越贵;但是资料共通;大约140$)。而WildCard则一劳永逸,支持所有根域名和子域名(价格贵,100$左右)。

很多人喜欢WildCard,确实方便。

但是我选择的是DV,因为有些机构提供的DV也是支持泛域名的噢,要特别注意看介绍信息。

证书

COMODO、RapidSSL、GeoTrust这些,是不同的SSL证书提供机构。cheapsslsecurity.com是渠道服务商,提供各种证书机构的购买渠道。价格都不一样,是因为提供的证书内容不同,有些只支持128位,有些则支持256位。还有单域名、泛域名支持,出证时间等等。大家在购买的时候仔细看下,选购适合自己的。

 

下单及账号验证

选择好后点击“BUY NOW”按钮,之后填写你的个人信息(最好写英文或者拼音),然后选择支付方式。付款后会收到几封邮件,有验证码的你就在页面上输入验证码or点击邮件中的link打开验证。

之后cheapsslsecurity让你填写证书信息。

填写证书信息

说到填写证书,最难的应该是生成CSR,如果你从未有过经验确实是无从下手。不要怕!这家的东西可以15天退款!

第一步是输入CSR。

CSR

这里有在线生成CSR的表单,可以用这个。

也可以在服务器用ssh命令生成证书,这里提供一些使用的指南:

http://www.wosign.com/Support/csr_generation.htm

http://ldzyz007.iteye.com/blog/1976539

都差不多的。

生成好后,会有2份文件,1份是csr,一份是key。

将csr文件中的内容整个复制粘贴到”Input CSR”的文字输入区域中。

 

“Choose your Automated Authentication Option”

选择你的验证方式。

切记要选择“HTTP File-Based Authentication”哦,除非”Email Authentication”里那些“admin@yourdomain.com”之类的邮箱你确实有在用,否则收不到验证邮件就要重新下单了。

选择“HTTP File-Based Authentication”的话,在完成这些步骤后,会要求你将一份文件(一般是txt格式)放在网站根目录下,cheapsslsecurity.com会去抓取和自动验证的。

 

“Select Your Server”

可选下拉框,可以选也可以不选。我选了Apache+openSSL。

 

“Select the Signature Algorithm”

保持默认即可(默认勾选了SHA-2)。

 

点击“CONTINUE”提交,会收到验证码邮件,输入即可。

等待几分钟(这个等待时间取决于你选购的证书类型和证书提供商,在最初的选购界面上都有写的)之后就会收到证书啦,2份cer文件同时邮件中也会有将文件中的原文写在邮件内容中给你(邮件标题大概是:“Subject: xxxxx.com RapidSSL Order: xxxxxxxxxx Complete”)。

创建一个”server.crt”文件,将邮件中”Web Server CERTIFICATE”下面的密文内容保存进去。

再创建一个”server-ca.crt”文件,将邮件中”INTERMEDIATE CA:”下面的密文内容保存进去。

还记得创建CSR时的”server.key”文件吗?拿过来,然后这3份文件一起上传到你的服务器。(可别丢了,如果弄没了,要重新生成一次CSR文件并且重新提交、审核。)

 

配置Apache启动SSL

安装ModSSL我就不说了,大家自行百度。

打开httpd-ssl.conf文件:

找到SSLEngine,设为On。

之前不是上传了”server.crt”、”server-ca.crt”和”server.key”吗?还记得位置吗?对应放到下面这3个参数里:

 

基本就算完成了,但如果你服务器上有多个网站,你还需要设置443接口虚拟机,找到“<VirtualHost _default_:443>”,然后在里面找DocumentRoot和ServerName,如果没有就自己加。跟在httpd-vhosts.conf里弄虚拟机是一样的:

接下来重启httpd,试试https访问看看?

原创文章,转载请注明: 转载自konakona

本文链接地址: 购买合适的SSL并在Apache中配置启用

团哥

继续玩我的CODE,让别人说去。 低调,就是这么自信。

You may also like...