更新comodo positive ssl证书

看了很多的帖子,如果你需要配置SSL证书的话,那么你就需要使用独立的IP,不能使用共享的。不过openshift是例外,用的技术不一样就是了。不过你需要升级openshift到BRONZE套餐,才能使用SSL,该套餐在3个gears内,是免费的,想要升级到该套餐的话,需要验证信用卡才行。如果你又信用卡,可以升级,还是不错的。之前,刚开始查了很多关于SSL的资料,有免费的SSL颁发机构,国外的是startssl,国内也有一家wosign,前者,应该很多人知道的,网上的教程也相对较多。当初我去申请的时候,填了好几次,都不给通过。一直修改地址。主要是要填写能够被startssl验证得到的地址,就通过了。而国内的这家,申请就比较容易了,也是一年免费,还可以无限重发。不过比较坑的是,对于移动端兼容太差。问过客服,说是兼容所有的windows的桌面浏览器,我测试过,在Ubuntu下的话,也是兼容的,但是移动端,就比较杯具了。所以还是能用startssl就用吧。

但是,startssl也并非最好的,其比较坑的,就是不会给你重发,我就一不小心把www的私钥给丢了,没有私钥,部署不了,虽然其官网可以给你下载证书。当然,也不是不可以给你重发,重发有两个办法,一是升级套餐,二,那就是你等到一年后,证书到期就行。startssl提供的证书,都是可以带根域名的,也就是没有子域的,如我这个博客的zskyer.com,当初有申请blog.zskyer.com的证书也是适用于zskyer.com的。如果你使用startssl的话,记得保存好私钥。还有就是据说先前startssl有集体被墙的现象出现。那时候我还没折腾这个网站,所以也不是很清楚了。所以说,免费的,其实是最贵的。

后来,在万能的X宝上,发现原来comodo positive ssl才7元/年,还是挺实惠的,虽然只有单域名(因为单域名就7元,其实已经很贵了,startssl的可以好几个子域),但是也还行了。本着折腾的想法,就去搞了一个,很快就发证书过来了。那么就开始折腾部署了。之前都是使用startssl的证书,其部署相对比较容易。只需要执行下文的命令,也就是将startCOM的ca及class1 server ca证书添加到你的证书后面。

部署的时候,添加对应的私钥,及证书文件,就可以保证火狐及手机端的浏览器能够识别出来。但是UC手机版的却识别不出来。这点让我很纠结。这也是我上X宝买SSL的原因之一。

如果是使用ubuntu等的桌面系统,那么你可以在本地先部署试试。需要重定向hosts文件。就可以在本地浏览器验证了。

把default-ssl.conf中的部分配置项修改如下:

需要启动apache2的SSL功能。

执行过程,可能需要你输入私钥的key。如果你不像每次重启apache的时候都要输入key。那么可以执行下面的命令。

然后将server2.key部署到apache就可以了。如果你需要在本地验证的话,那么就重定向你的域名到hosts。

比如我这边的域名,就是往里面添加

然后在浏览器上直接浏览https://zskyer.com,就可以看到对应的是否有部署成功,如果没有警告之类的。

上面说的是部署的简要内容,还有用的是startssl的证书,比较容易,但是用comodo的证书就比较麻烦了。整了好几次,最后谷歌到了。原来要加上证书链的配置。生成comodo positive ssl证书链:

可以不需要携带AddTrustExternalCARoot.crt,也就是下面这命令:

然后将ca.cer部署到你的服务器的Certificate Chain File中。如果是本地或者VPS的apache话,则是在/etc/apache2/sites-available/default-ssl.conf添加

这样就部署证书链OK了。打开浏览器试试。出现绿色小锁,就OK了。

有不少在线测试SSL证书部署的。推荐下面几个:

ssllabs 这个可以给你的SSL证书评级,并且有测试各种移动端/PC端的各种浏览器兼容性。

globalsign sslcheck 中文界面,优势很大,会给你一些警告及如何处理等。很不错,也会给你证书评级。

 

下面这个就是我现在用的证书链了,有4级。。。

certificate-chain

 

参考资料:

Installing Comodo Positive SSL Certs on Apache and OpenSSL

转载请注明: 转载自elkPi.com

本文链接地址: 更新comodo positive ssl证书

发表评论

电子邮件地址不会被公开。 必填项已用*标注