Namecheap SSL证书购买和SSL激活安装使用方法:Comodo PositiveSSL
原来一直觉得SSL证书应该要被安装在电子商务网站或者涉及到客户账户等信息的平台上,但是最近却发现需要SSL证书的地方越来越多,不少的博客也开始用了Https访问,而一些网站也就只能使用SSL才能打得开。
SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道,主要用来提供对用户和服务器的认证,对传送的数据进行加密和隐藏,确保数据在传送中不被改变,即数据的完整性。Google现在也鼓励网站采用SSL了。
SSL证书可以被广泛安装在虚拟主机、VPS、服务器上,有一个前提就是域名需要一个独立IP地址,有些虚拟主机商如果你购买了它们的SSL证书和主机空间的话,会免费赠送独立IP给你,例如Godaddy就是这样,不需要再额外购买独立IP。
本篇主要是来分享一下Namecheap SSL证书的购买过程,以及如何激活和安装使用Namecheap SSL。想要了解更多的有关于SSL证书安装与使用的方法,可以看看:
- 1、狗爹SSL:最新Godaddy的SSL安装和设置图文方法:Godaddy主机和第三方主机
- 2、免费SSL申请:StartSSL免费SSL证书成功申请-HTTPS让访问网站更安全
- 3、StartSSL安装使用:Nginx,Cpanel,DirectAdmin安装StartSSL免费SSL证书
Namecheap SSL证书购买和SSL激活安装使用方法:Comodo PositiveSSL
1、Namecheap 官网:
- 1、官方网站:https://www.namecheap.com
2、Namecheap SSL最便宜的一款SSL产品是Comodo PositiveSSL,一年是9美元。
3、点击添加Comodo PositiveSSL到购物车当中。
4、接着就是要求你登录Namecheap账户了,没有的话可以直接注册一个。
5、然后就是选择使用信用卡或者Paypal支付了。
6、点击确认支付。
7、接着跳转到Paypal官网,登录你的账号开始支付。
8、用Paypal支付成功后,就会自动跳转到Namecheap,会提示你购买成功。
二、Namecheap Comodo PositiveSSL激活
1、购买了SSL证书后,登录到Namecheap后,会提示你去激活SSL。
2、点击进入到SSL管理界面,在SSL证书列表中能看到刚刚购买到的产品,点击后面的“激活”。
3、然后是进入到Namecheap SSL激活选项页面了,先选择你将要将SSL证书放在的服务器的类型上,有Apache、Nginx、IIS等。
4、最后在下方就是填写你的证书请求CSR了。(点击放大)
1、上面已经看到,要想成功激活Namecheap Comodo PositiveSSL,需要你填写一个CSR文件,如果你是将SSL证书安装在Nginx VPS上的话,可以直接在VPS上生成。
2、以下命令是在一个纯净的VPS主机上安装Nginx,包括SSL模块。
wget https://sysoev.ru/nginx/nginx-0.7.64.tar.gz
tar zxvf nginx-0.7.64.tar.gz
cd nginx-0.7.64
./configure --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-ipv6
make && make install
3、如果在安装过程出现错误提示:./configure: error: the HTTP rewrite module requires the PCRE library.,可以执行命令:yum -y install pcre-devel openssl openssl-devel
4、然后执行命令添加www用户,并启动Nginx。这时用你的浏览器应该可以打开域名或者IP地址来访问了。
/usr/sbin/groupadd -f www
/usr/sbin/useradd -g www www
/usr/local/nginx/sbin/nginx
5、以下命令是用来生成密钥文件,一种是2048位,一种是1024位,请根据你的SSL商的要求来决定。Namecheap SSL要求是生成2048位的密钥文件。
openssl genrsa -out privkey.key 2048
openssl genrsa -out privkey.key 1024
6、最后就是生成证书请求文件了:
openssl req -new -key privkey.pem -out cert.csr
8、执行以上命令后,会要求你填写基本信息,例如国家、邮箱等。
7、用命令:cat cert.csr和cat privkey.key 能看到刚刚生成的CSR和Key文件内容了。其中SCR文件内容就是我们刚刚要激活SSL证书要用到的。
1、如果你用的是Cpanel虚拟主机,可以直接在Cpanel添加和管理SSL证书。这里以Godaddy为例,进入到Cpanel面板,点击进入SSL管理器中。
2、点击私人密钥中的“生成”。
3、这里就可以生成密钥文件,同样支持选择2048位或者是1024位。
4、在证书签名请求的“生成”就是用在线生成CSR文件的。
5、在这里填写你的国家、邮箱、城市等基本信息,然后点击生成CSR。(点击放大)
1、按照上面的方法将你的证书请求文件内容填入,然后点击确认,这时会看到要你选择一个联系人邮箱。
2、确认你的联系人信息。
3、提交后就是等待Comodo那边为你发送证书生成验证邮件了。
4、到你的邮箱收取激活邮件,邮件会有一串激活码,点击联系中的链接地址进入到Comodo页面,输入激活码,完成激活。
5、激活完成后,你的邮箱就会收到Comodo发过来的Comodo PositiveSSL信息了,并带有一个附件。
6、附件包含AddTrustExternalCARoot.crt、COMODORSAAddTrustCA.crt、COMODORSADomainValidationSecureServerCA.crt、xxxx.crt,这些就是你在安装SSL证书要用到的。
1、首先是将Comodo PositiveSSL的四个文件合并为一个新的crt文件,新一个类似于freehao123.crt这样的文件,然后按照顺序依次添加相应的内容到里面:xxxx.crt、COMODORSADomainValidationSecureServerCA.crt、COMODORSAAddTrustCA.crt、AddTrustExternalCARoot.crt。
2、然后将自己Key文件,外加刚刚合并而成的freehao123.crt,共两个文件一同上传到VPS主机的某一个文件夹当中。
3、执行以下命令,编辑Nginx配置文件。
vim /usr/local/nginx/conf/nginx.conf
3、在Server中主要是添加以下代码(注意替换为你自己的crt和key文件路径)。
listen 443;
ssl on;
ssl_certificate /root/freehao123.crt;
ssl_certificate_key /root/freehao123.key;
ssl_session_timeout 5m;七、Cpanel上安装Namecheap SSL证书
1、如果是Cpanel主机,那么安装Namecheap SSL证书就简单了,直接进入到SSL管理器中,点击上传CRT文件。
2、然后粘贴你的CRT文件内容,提交。
3、接着再点击激活域名SSL,选择你想要使用SSL证书的域名,如果之间已经是经过在线生成的KEY,这时就可以点击自动填充了。
4、如果不自动填充,也可以自己分别将Key和CRT两个文件内容粘贴进去,再点击提交即可。(点击放大 )
5、成功安装了SSL证书后,这时用浏览器打开域名,就能看到已经使用Https加密访问了。
八、Namecheap SSL证书安装使用小结
1、Namecheap规定在生成CSR文件时,如果你的域名是像.com\.net这样的国际域名,common name等选项必须是类似于:xxx.com,否则在激活Namecheap SSL时会提示有错误而无法进入下一步。
2、使用Https加密访问后,记得将自己网站的URL全部改成https连接,否则浏览器地址栏中会显示疑问号。Https加密访问虽然保证了安全,但是在SEO、主机性能、资源消耗等会有一些吃亏,使用前请谨慎。
文章出自:免费资源部落 https://www.freehao123.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。
我根据你推荐的申请了,不知道搞得对不对想像你请教
qi 回复:
@lance, 好的,遇到了什么问题了?
@qi, 搞好没有!
我的主机面板是webmin的,昨晚搞了一晚上还是错误,所以想请你帮忙看看
qi 回复:
@jack, 是什么错误?
jack 回复:
@qi, 打开ssl的选项后,阿帕奇服务器无法启动,web服务就挂了
jack 回复:
@qi, 你搞好了帮我下,酬谢
name.com的SSL如何设置呢
qi 回复:
@jack, name.com的SSL便宜不?便宜的话我去购买一个。
jack 回复:
@qi, 9.9美元一年,可以通配符好像,但是被我浪费了2个的,都配置错了,无法重来
qi 回复:
@jack, 那还可以,我去试试看。
thanks a lot~ 后来弄好了,想请问下qi神,你的网站升级http2.0了呀,我是Nginx网站百度的教程,都很简单,但是就是弄不了,貌似是我的opensll太久,只是按照其他教程还是弄不了,一直说我SPDY NOT ENBLE, 可是在http2模块里面不是替代了spdy了吗 搞不懂
qi 回复:
@Hank, SPDY貌似现在不需要了,chrome也放弃了。
😕 didn’t work
不行吖,NAMECHEAP发给我的只有一个CSR文件和一个BOUNDLE文件,后来去官网下载了,里面还有一个应该是合成好的p7b文件,上传到自定义的文件后,打开HTTPS的域名不行,然后查了下说是key值不匹配。
nginx: [emerg] SSL_CTX_use_PrivateKey_file(“/root/myssl/privkey.key”) failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)
nginx: configuration file /usr/local/nginx/conf/nginx.conf test failed
qi 回复:
@Hank, 这个还需要自己在VPS将p7b文件转化Key的,Google一下p7b转化Key。
我买的是name.com的SSL,不知道如何安装
qi 回复:
@jack, 按照本文的方法还没有搞明白吗?你想安装SSL在什么主机上?
“1、Namecheap规定在生成CSR文件时,如果你的域名是像.com\.net这样的国际域名,common name等选项必须是类似于:xxx.com,否则在激活Namecheap SSL时会提示有错误而无法进入下一步。”
请问这整个过程中需要用到域名吗
我最好只想得到类似于https://127.0.0.1 这样的只需要用IP访问的网站 可否实现? 谢谢
qi 回复:
@大法师, 不能,SSL证书只颁发给域名,不能使用IP地址。否则会报错。
极雪 回复:
@大法师, 普通的SSL证书不支持ip,你可以联系一下comodo客服问一下支持ip的证书
为啥我只收到一个证书文件
qi 回复:
@日光博客, 没有的话,可以在SSL证书管理页面中下载。
我买的产品里面有证书(2美元那种),但是过了几天去看发现没有记录了。
qi 回复:
@怪兽法师, 购买的东西没有了?
怪兽法师 回复:
@qi, 恩恩。不过paypal有记录。是共享主机最便宜的那一款,一年几十人民币的那种。
合并证书貌似老是遇到错误,导致nginx重启报错。
qi 回复:
@小z, 什么错误?
小z 回复:
@qi, 之前github学生包申请的ssl,当时不太懂,随便在线生成的scr,导致.pem文件一直有错误,都快导致了,懒得折腾。部分页面使用了沃通的免费ssl,已经用上啦。多些部落分享的教程。
qi 回复:
@小z, 有没有发现Https比Http加载速度要慢一些?
小z 回复:
@qi, 略微要慢一点,有个握手的过程,但实际差异不是太大。
https://api.annicoco.com/555.htm
按照博主的文章,安装了两次了,都报这个错误,大概是怎么回事呀
Secure Connection Failed
The connection to api.annicoco.com was interrupted while the page was loading.
The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
Please contact the website owners to inform them of this problem.
qi 回复:
@xiaopeng, 好像是网络连接的问题,你是安装什么主机上?虚拟主机?还是VPS?
xiaopeng 回复:
@qi, VPS,但是访问https://api.annicoco.com/555.htm。不带s的没有问题。
listen 80;
listen 443 ssl;
server_name api.annicoco.com;
index index.html index.htm index.php default.html default.htm default.php;
root /home/wwwroot/api.annicoco.com;
#ssl on;
ssl_certificate /usr/local/nginx/conf/api_annicoco_com.crt;
ssl_certificate_key /usr/local/nginx/conf/annicoco.pem;
# include other.conf;
#error_page 404 /404.html;
location ~ [^/]\.php(/|$)
{
# comment try_files $uri =404; to enable pathinfo
try_files $uri =404;
fastcgi_pass unix:/tmp/php-cgi.sock;
fastcgi_index index.php;
fastcgi_param HTTPS on;
#include pathinfo.conf;
}
listen 443;
ssl on;
这样的组合也试过,也不行
qi 回复:
@xiaopeng, 看配置文件并没有什么问题,奇怪。我先在本地测试一下你的这段代码。
博主有段代码出错 openssl genrsa -out privkey.key 2048
openssl genrsa -out privkey.key 1024
这个key 应该是pem 吧
qi 回复:
@老溜, 嗯,两个都是可以的。
请问这是怎么了,
执行openssl req -new -key privkey.pem -out cert.csr
返回
Error opening Private Key privkey.pem
139799587936072:error:02001002:system library:fopen:No such file or directory:bss_file.c:398:fopen(‘privkey.pem’,’r’)
139799587936072:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:
unable to load Private Key
证书都买好了>….
Qa 回复:
@Qa, 原来是博主的命令写错了
生成证书的资料该怎么写了.老是提示
The following error(s) occurred while getting approver email list
We have detected that either a common name or one of the additional domain fields contain one of the following unsupported elements: an Internet-accessible IP Address, Internal Domain Name or a TLD we do not yet support. If you believe this is a mistake – please contact support. Thank you.
qi 回复:
@Qa,这个错误我也遇到过,是在填写名称出现了,输入英文名称看看,不要带上域名后缀。
Qa 回复:
@qi, 解决了。不应该填写英文名。应该写要加SSL的完整域名带后缀
博主能提供下COMODORSADomainValidationSecureServerCA.crt、COMODORSAAddTrustCA.crt、AddTrustExternalCARoot.crt这三个文件吗?
我用的是IIS的VPS,然后发给我的证书只有xxx.crt这一个,然后坑爹的火狐又提示颁发者未知
qi 回复:
@ljxprime, 好的,我来找一下,发到你的邮箱。
现在证书也挺便宜的。
@qi 姐姐,能不能邮件发我一份你这个域名反代狗狗的nginx配置原文件?我自己配置的不太理想,谢谢
qi 回复:
@包子, 马上就发布出来了。
包子 回复:
@qi, 发,发,发
话说这句:
Google现在也鼓励网站采用SSL了。
Rich 回复:
与这句:
Https加密访问虽然保证了安全,但是在S3O、主机性能、资源消耗等会有一些吃亏,使用前请谨慎。
有点冲突,为什么会在S3O会有一些吃亏?!
莫非是度娘。。 👿
Rich 回复:
PS:刚刚想换行按成Ctrl+Enter直接POST出去了所以分成了两段。。 ➡
qi 回复:
@Rich, 是的,百度对https的网站不收录。
Rich 回复:
@qi, google的各种优势让百度望尘莫及,可惜就是被Q了。。 😉
正在用 不过一开始怎么弄都收不到邮件 后来找他们客服给我发的
其实comodo ssl可以找我拿免费的一年,另外纠正一下,这种ssl只能匹配两个域([email protected])换其他任何域名,包括子域名都要重新买ssl,原ssl不可用
包子 回复:
@极雪, 求一个
极雪 回复:
@包子, qq 835510554 注明comodo
还在用免空
很不错呀!
安装还蛮复杂,非常感谢qi的教程。ssl对seo并没有影响吧。事实上,在google上,很多人表示对有ssl的网站更青睐。
– -自建CA怎么弄EV验证有人捣鼓出来了么
qi 回复:
@Kung, 好像要申请才行。
包子 回复:
@Kung, 这个弄不出来
极雪 回复:
@Kung, 自建了也没用,浏览器不信任,ev和dv没区别
0okmnbvcxzx 回复:
@Kung, 按微软的指南弄过一次,没有成功。我博客上有相关文章,应该就在第一页。
包子 回复:
@0okmnbvcxzx, 有没有详细一点的文章?你博客的那一篇太简陋了
0okmnbvcxzx 回复:
@包子, 主要思路应该是比较完整的,具体细节方面你想知道的话再查查资料或者问我吧 。
0okmnbvcxzx 回复:
@包子, 当时主要是考虑记个思路就差不多了,太详细反显臃肿也累
包子 回复:
@0okmnbvcxzx, 话说,思路在哪儿?还是我看错文章了?
0okmnbvcxzx 回复:
@包子, 简单点说就是一句话:在签发证书的时候加一个特殊OID,并且在证书存储区中修改“扩展的验证”属性,添加这个OID。
包子 回复:
@0okmnbvcxzx, 加OID后,自颁EV是成功了吗?给个图呗
0okmnbvcxzx 回复:
@包子, 都说是 失败了。。。图有啊。后来搜索了一下很多人都说是固定在浏览器中的。微软那篇文章应该对想自签EVSSL没用。我下次有空自己编译下chromium试试。
不过得现在这坑爹的网络环境下把代码脱下来有。。。
我记得全站强制ssl的容易被功夫王认证的
而且我有wild ssl
qi 回复:
@liqiu, 免费的吗?
liqiu 回复:
乖乖的用我的wosign。。。不是特别牛的网站加ssl百度不收。。
qi 回复:
@快乐家园, 百度确实不收ssl的网站。
rikka 回复:
@快乐家园, wosign的话,咱家只能说ocsp主机不定期卖萌。简直是无人#权…
请问能用在子域名上的吗,如x.free.com,还有更换域名或主机后证书需要重新购买吗
qi 回复:
@x, 可以用在子域名上,更换了域名后需要重新激活,不需要重新购买新的。
x 回复:
@qi, 谢谢
包子 回复:
@x, 更换域名必须重新购买。换主机不影响已经颁发的SSL证书,不换域名还可以随时申请免费重新颁发新的证书(到期日不变)
x 回复:
@包子, 谢谢
额。。我用的还是免费的..
qi 回复:
@烟花易冷, 那个Startssl吗?
难道是第一个