最新获取StartSSL免费3年SSL证书步骤及Nginx和Apache配置StartSSL方法

SSL   2017年01月09日 22:40  

最新获取StartSSL免费3年SSL证书步骤及Nginx和Apache配置StartSSL方法

StartSSL因为与360那点关系,导致Chrome和Firefox等浏览器开始对他们颁发的SSL证书不再信任,时间为一年。不过,这并不是说所有的SSL免费证书不能用,而只是其中的一部分不能使用了,所以如果你还在使用StartSSL免费SSL证书的话,就需要仔细检查一下了。

有朋友在新StartSSL免费SSL证书申请使用中留言说StartSSL获取免费SSL证书的步骤有些变化,新手操作时不知道如何下手。部落自己登录了StartSSL再次申请了一次,发现那篇文章关于StartSSL免费SSL申请与使用的方法都是可以的,就是在下载SSL证书文件时有些不同。

所以,本篇文章就来为新手朋友们整理一下新改版的StartSSL免费SSL证书获取及下载的详细方法。要说StartSSL与Let's Encrypt不同的地方,就是Let's Encrypt时效只有三个月,到期后就要续期,而StartSSL有效期现在一签发就是三年,大大方便了虚拟主机或者CDN等配置安装SSL证书。

更多的免费SSL证书,大家可以看看:

最新获取StartSSL免费3年SSL证书步骤及Nginx和Apache配置StartSSL方法

一、新版StartSSL账号登录注册

1、StartSSL官网:

  • 1、官方网站:https://www.startssl.com/

2、没有StartSSL账号的,可以进入到官网然后点击“Sign Up”来注册一个账号。

最新获取StartSSL注册一个账号

3、已经在StartSSL注册过账号的,登录账号有两种方式:本地证书登录和一次性密码登录。

最新获取StartSSL登录账号

4、选择“One Time Password Login”的话,你的注册邮箱会收到一个验证码,这个就是你用来登录StartSSL的密码。

最新获取StartSSL验证码

5、选择“Client Certificate Login”就会直接在浏览器中弹出是否使用证书验证登录,不用输入密码就可以登录到StartSSL账号了。

最新获取StartSSL使用本地证书登录

6、但是,如果你把之前申请StartSSL安装在本地电脑的证书掉了话,就只能选择使用一次性密码登录了。或者,你直接在StartSSL中生成一个新的本地密钥。

最新获取StartSSL生成新的密钥

7、然后将StartSSL生成的密钥文件下载到本地。

最新获取StartSSL下载到本地

8、再次在自己的电脑上安装StartSSL登录密钥即可。

最新获取StartSSL在自己电脑上安装

二、新版StartSSL免费SSL申请

1、这是新版StartSSL的管理界面。

最新获取StartSSL管理界面

2、想要申请新版StartSSL免费SSL证书,你只要在管理界面的下方找到有Free SSL,然后点击进入。

最新获取StartSSL找到申请页面

3、接着,选择Free User (Not Validated),点击申请。

最新获取StartSSL选择该项进入

4、需要说明的是,如果你还没有在StartSSL添加域名,你在点击申请SSL证书时会弹出提示:请选择添加域名。

最新获取StartSSL添加域名

5、StartSSL支持大部分域名。

最新获取StartSSL输入自己的域名

6、添加的域名,要验证域名所有权。

最新获取StartSSL验证域名

7、只有域名通过了验证,才可以继续申请StartSSL免费SSL。

最新获取StartSSL通过验证

8、接下来还要验证你的邮箱。

最新获取StartSSL验证邮箱

三、生成CSR下载SSL证书文件

1、在申请StartSSL证书时,会要你生成CSR,这里也提供了三种方式:一种是浏览器上生成,这个需要插件但是不支持Chrome,另一种就是下载StartSSL的CSR生成软件。最后一种就是用VPS命令了,没有VPS的朋友可以放弃。

最新获取StartSSL生成CSR

2、这里是StartCom Tool下载地址。启动StartCom Tool软件后,点击生成CSR,选择保存路径。

最新获取StartSSL使用软件生成

3、接下来就可以在CSR框内看到生成的CSR了。

最新获取StartSSL查看生成内容

4、将它们复制粘贴到StartSSL申请SSL中,点击提交。

最新获取StartSSL提交申请

5、最后,StartSSL免费SSL证书已经签发完成,你可以将StartSSL免费SSL证书文件下载下来了。

最新获取StartSSL下载文件

四、StartSSL免费SSL证书安装激活

1、点击下载下来的文件,你会看到有两个文件:Intermediate.crt和邮箱.crt,这两个就是SSL证书文件了。

最新获取StartSSL两个文件

2、你也可以通过Tool Box下的Certificate List来下载已经签发的SSL证书。

最新获取StartSSL查看证书列表

3、点击“Retrieve”下载的就是SSL证书文件了。

最新获取StartSSL进入下载链接

4、点击旁边的三角形,这时会有一个PEM文件可供下载了。

最新获取StartSSL下载PEM

5、这个就是Key了。

最新获取StartSSL得到密钥

6、在使用SSL证书前,记得把Intermediate.crt和邮箱.crt里面的内容合并一下,以免浏览器不信任我们的SSL证书。合并的方式就是直接将Intermediate.crt里面的内容复制到邮箱.crt中。

最新获取StartSSL合并证书

7、有上面的.crt和.key这两个文件,我们就可以直接在Apache和Ngnix安装配置StartSSL免费SSL证书了,直接将SSL证书的路径调整为新的StartSSL免费SSL证书路径。

最新获取StartSSL调整路径

8、接着重启Apache或者Nginx,刷新一下浏览器就可以看到StartSSL免费SSL证书已经成功安装在Apache或者Ngnix。

最新获取StartSSL成功安装

9、关于Apache和Ngnix配置SSL证书的教程,有兴趣的朋友可以看看这里:Ngnix配置Let's Encrypt免费SSLApache配置Let's Encrypt免费SSL

五、关于PEM,DER,CRT,CER,KEY,CSR,PFX区别

1、在使用SSL证书的时候,由于不同的SSL商在提供SSL文件下载时经常会出现不同的PEM,DER,CRT,CER,KEY,CSR,PFX格式,这里主要给大家作一个说明,他们之间其实都是可以相互转换的。

2、编码格式:

  • PEM - Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN..."开头, "-----END..."结尾,内容是BASE64编码.
    Apache和*NIX服务器偏向于使用这种编码格式.
  • DER - Distinguished Encoding Rules,打开看是二进制格式,不可读.
    Java和Windows服务器偏向于使用这种编码格式.

3、文件扩展名:

这是比较误导人的地方,虽然我们已经知道有PEM和DER这两种编码格式,但文件扩展名并不一定就叫"PEM"或者"DER",常见的扩展名除了PEM和DER还有以下这些,它们除了编码格式可能不同之外,内容也有差别,但大多数都能相互转换编码格式.

  • CRT - CRT应该是certificate的三个字母,其实还是证书的意思,常见于*NIX系统,有可能是PEM编码,也有可能是DER编码,大多数应该是PEM编码。
  • CER - 还是certificate,还是证书,常见于Windows系统,同样的,可能是PEM编码,也可能是DER编码,大多数应该是DER编码.

4、KEY - 通常用来存放一个公钥或者私钥,并非X.509证书,编码同样的,可能是PEM,也可能是DER.

  • 查看KEY的办法:openssl rsa -in mykey.key -text -noout
    如果是DER格式的话,同理应该这样了:openssl rsa -in mykey.key -text -noout -inform der

5、CSR - Certificate Signing Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请,其核心内容是一个公钥

6、PFX/P12 - predecessor of PKCS#12对*nix服务器来说,一般CRT和KEY是分开存放在不同文件中的,但Windows的IIS则将它们存在一个PFX文件中,(因此这个文件包含了证书及私钥)这样会不会不安全?应该不会,PFX通常会有一个"提取密码",你想把里面的东西读取出来的话,它就要求你提供提取密码,PFX使用的时DER编码,如何把PFX转换为PEM编码?

  • openssl pkcs12 -in for-iis.pfx -out for-iis.pem -nodes
    这个时候会提示你输入提取代码. for-iis.pem就是可读的文本.
  • 生成pfx的命令类似这样:openssl pkcs12 -export -in certificate.crt -inkey privateKey.key -out certificate.pfx -certfile CACert.crt
  • 其中CACert.crt是CA(权威证书颁发机构)的根证书,有的话也通过-certfile参数一起带进去.这么看来,PFX其实是个证书密钥库.

7、JKS - 即Java Key Storage,这是Java的专利,跟OpenSSL关系不大,利用Java的一个叫"keytool"的工具,可以将PFX转为JKS,当然了,keytool也能直接生成JKS,不过在此就不多表了.

8、证书编码的转换:

  • PEM转为DER openssl x509 -in cert.crt -outform der -out cert.der
  • DER转为PEM openssl x509 -in cert.crt -inform der -outform pem -out cert.pem
  • (提示:要转换KEY文件也类似,只不过把x509换成rsa,要转CSR的话,把x509换成req...)

9、几种典型的密码交换信息文件格式:

  • DER-encoded certificate: .cer, .crt
    PEM-encoded message: .pem
    PKCS#12 Personal Information Exchange: .pfx, .p12
    PKCS#10 Certification Request: .p10
    PKCS#7 cert request response: .p7r
    PKCS#7 binary message: .p7b
    .cer/.crt是用于存放证书,它是2进制形式存放的,不含私钥。
    .pem跟crt/cer的区别是它以Ascii来表示。
    pfx/p12用于存放个人证书/私钥,他通常包含保护密码,2进制方式
    p10是证书请求
    p7r是CA对证书请求的回复,只用于导入
    p7b以树状展示证书链(certificate chain),同时也支持单个证书,不含私钥

六、最新版StartSSL使用小结

1、新版StartSSL没有太大的变化 ,账号管理与证书下载等都与过去相同,唯一的变化就是CSR生成,提供了一个Windows工具,直接就可以在本地生成了,非常方便。而下载的SSL证书可以应用在Nginx、Apache、Windows等上。

2、要说使用StartSSL唯一要担心的就是各大主流浏览器不支持的情况了,目前来看StartSSL适合尝鲜的朋友使用,对于要求稳定的朋友可以先去使用Let’s Encrypt,或者是花9美元购买一年NameCheap SSL:Namecheap SSL证书购买

文章出自:免费资源部落 部分内容参考cnblogs 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 禁止全文转载。

十个便宜VPS主机分享-VPS服务器建站和搭建应用服务体验
购买VPS主机

您或许对下面这些文章有兴趣:                    本月吐槽辛苦排行榜

在这个部落村庄里,已经有73 位神马家族成员冒出泡来在农场开始干活了
  • dadu

    一直关注你的博客,军哥的lnmp添加Let’s Encrypt能写一个详细一点的教程吗?网上的教程,要嘛太旧了,要嘛就看不太懂,当然说的是针对我这种新人。

    qi 回复:

    @dadu, 好的,我来写一个教程。

    薅羊毛 回复:

    @qi, Tengine 怎么配置H2 站长会么 不懂

    qi 回复:

    @薅羊毛, Tengine 没有怎么用过。

    这是农场的第 1 块农田,部落批准 [dadu] 在[2017-1-9 23:04]开垦完成.
  • 沙发~~~

    这是农场的第 2 块农田,部落批准 [伊犁的秋天] 在[2017-1-9 23:05]开垦完成.
  • 表示一直在用,只不过他的csr生成器和我家电脑闹得不太好就是不生成

    qi 回复:

    @无名君, 可以使用浏览器插件生成,也是不错的。

    这是农场的第 3 块农田,部落批准 [无名君] 在[2017-1-9 23:17]开垦完成.
  • StartSSL使用還是方便許多,
    只能看明年能不能讓Firefox Chrome重新恢復信任了….

    qi 回复:

    @李毅哲, 惩罚时间是一年,2017年是不是就好了?

    李毅哲 回复:

    @qi, 其实是过了一年之后才能重新申请信任,
    会不会恢复还不一定……

    qi 回复:

    @李毅哲, 哦,那就惨了。

    这是农场的第 4 块农田,部落批准 [李毅哲] 在[2017-1-10 08:42]开垦完成.
  • hhw

    现在网站都开始流行SSL证书了。

    这是农场的第 5 块农田,部落批准 [hhw] 在[2017-1-10 09:42]开垦完成.
  • 小龙 3

    这个提供的没有key文件,应该怎么转换还是获取key呢?
    我填写pem到VPS,提示错误

    qi 回复:

    @小龙, 后缀名不同,其实都是pem格式的,也就是就这个pem就是Key。提示什么错误?

    小龙 回复:

    @qi, 提示密匙错误

    斜阳晚暮 回复:

    @小龙, 我感觉下载那个软件,点击生成generate csr会保存一个key文件。那个应该是私钥。

    不过我一般都是用在线生成csr的工具,同时会生成csr和key文件。

    qi 回复:

    @斜阳晚暮, 是的,那个私钥还是要保存好。

    这是农场的第 6 块农田,部落批准 [小龙] 在[2017-1-10 14:42]开垦完成.
  • 现在免费的ssl证书好多~~

    qi 回复:

    @可可豆, 估计以后就是建站的标配了。

    这是农场的第 7 块农田,部落批准 [可可豆] 在[2017-1-10 14:56]开垦完成.
  • svtsoto

    博主,你的证书3天后过期 :mrgreen:

    qi 回复:

    @svtsoto, 忘记重启服务器了,哈哈。

    这是农场的第 8 块农田,部落批准 [svtsoto] 在[2017-1-10 15:12]开垦完成.
  • Han

    表示除了域名都是用的免费的 :arrow:

    qi 回复:

    @Han, 放点广告就可赚钱啦。

    这是农场的第 9 块农田,部落批准 [Han] 在[2017-1-10 15:31]开垦完成.
  • exexue

    :grin: 日光之下,并无新事。

    这是农场的第 10 块农田,部落批准 [exexue] 在[2017-1-10 15:39]开垦完成.
  • 呵呵

    站长,貌似incapsula免费版加速自主设置国外加速节点的功能挂掉了,现在只能使用默认节点,速度极其捉鸡

    qi 回复:

    @呵呵, incapsula的服务器节点被滥用了 ,所以现在的效果不行了。你可以改用静态CDN,这样加速效果也是不错的。

    呵呵 回复:

    @qi, 一直觉得incapsula好,如今挂掉了可惜。不过如果是在屏#蔽之前自主设定好日本香港节点a记录的貌似不影响,依然可以走香港和日本节点过。

    这是农场的第 11 块农田,部落批准 [呵呵] 在[2017-1-10 15:57]开垦完成.
  • 已经对startssl没啥好感了,趁上次黑五活动,花了1$买了科莫多的证书。

    qi 回复:

    @小z博客, 我发现name.com的个人SSL也是9.99美元,好便宜。

    这是农场的第 12 块农田,部落批准 [小z博客] 在[2017-1-10 16:26]开垦完成.
  • 现在已经习惯使用letsencrypt了,acme.sh实在太方便了

    qi 回复:

    @benzBrake, acme.sh果然很强大。

    这是农场的第 13 块农田,部落批准 [benzBrake] 在[2017-1-10 16:40]开垦完成.
  • RR233CY 18

    StartSSL是360子公司,StartSSL是360子公司,StartSSL是360子公司

    表示已经在各OS、浏览器里拉黑startcom和wosign的所有CA

    斜阳晚暮 回复:

    @RR233CY, 那又怎么样,用的着带有色眼镜看人?360投资了数百家公司,建议你都百度出来,拉黑他们。

    RR233CY 回复:

    @斜阳晚暮, 既然苹果、mozilla、chrome都已经拉黑了他们两家的CA, 为什么我拉黑它们就是有色眼镜?

    这是农场的第 14 块农田,部落批准 [RR233CY] 在[2017-1-10 16:49]开垦完成.
  • qi

    @ACGE, 网址怎么不是网宿?

    ACGE 回复:

    @qi, 这个注册的貌似不是那个网址,但是登录的时候是可以。等等我上个图

    ACGE 回复:

    @qi, 对了那个全速云就是网宿的。

    simplove 回复:

    @qi, 博客论坛或社区类且无BBS专@项审批资质的网站域名
    审核后拒绝,我专门去试了下,我们没机会的。域名都提示不了,建议把这个带有广告性质的删掉,免得误导他人。

    qi 回复:

    @simplove, 哦,原来是这样。

    这是农场的第 15 块农田,部落批准 [qi] 在[2017-1-10 23:32]开垦完成.
  • kyo1 1

    一直没有用ssl

    这是农场的第 16 块农田,部落批准 [kyo1] 在[2017-1-11 03:42]开垦完成.
  • 站长推荐好点的CDN可以么? 阿里云HTTPS请求次数收费,腾讯云和360CDN 都不支持网站301,打不开

    qi 回复:

    @薅羊毛, 免费的不?https CDN貌似都蛮贵的。

    薅羊毛 回复:

    @qi, 站长用的什么? 配置HTTP2了么

    李毅哲 回复:

    @薅羊毛, 主站貌似上了http2
    可惜七牛云CDN的部份还停留在http1.1
    可以改用百度云加速专业版,支持http2连线的

    薅羊毛 回复:

    @李毅哲, 百度云专业版不支持上传自己的证书,OpenSSL 升级他也没对

    薅羊毛 回复:

    @李毅哲, 花了几百大洋买了个专业版的,速度挺快的,可以去我那看看

    qi 回复:

    @薅羊毛, 这么便宜?我看你的证书显示的是yunjiasussl.com的。

    薅羊毛 回复:

    @qi, 恩 昨天刚换上的,比官网优惠了一大半

    这是农场的第 17 块农田,部落批准 [薅羊毛] 在[2017-1-11 06:42]开垦完成.
  • 穹庐 2

    加密链接的目的就是防偷窥

    不知道还在申请这种可供偷窥的证书有什么意义。

    已经手动拉黑startssl证书的路过,凡用了它的网站我都不会打开了

    这是农场的第 18 块农田,部落批准 [穹庐] 在[2017-1-11 12:05]开垦完成.
  • zumenbo 3

    最近网站每天都是几百M流量,我想查为什么流量跑得这么快。
    可是服务器没有开通日志分析功能,还有什么方法可以查?

    这是农场的第 19 块农田,部落批准 [zumenbo] 在[2017-1-11 16:10]开垦完成.
  • 360网站卫士支持HTTPS CDN,但是速度有点慢。腾讯现在的CDN也免费,每月送60G流量,支持HTTS,证书要自己弄。UPYUN也支持HTTPS CDN,证书够费,流量要钱

    这是农场的第 20 块农田,部落批准 [simplove] 在[2017-1-12 09:45]开垦完成.
  • Kung 23

    有洁癖的都手动拉黑了,没洁癖的各大浏览器都帮着拉黑了。如果只是自己看倒是无所谓,要是公司企业或者有特殊需要的网站选择StartSSL就要谨慎了。

    qi 回复:

    @Kung, 个人玩玩就好了。

    这是农场的第 21 块农田,部落批准 [Kung] 在[2017-1-12 09:58]开垦完成.
  • 已经手动拉黑根证书

    qi 回复:

    @黑暗游侠, 还好网上用这个SSL的不多。

    这是农场的第 22 块农田,部落批准 [黑暗游侠] 在[2017-1-12 10:22]开垦完成.
  • xilouqingzhu 12

    @qi,有无好的付费主机推介,

    qi 回复:

    @xilouqingzhu, 虚拟主机还是VPS主机?国外的VPS都比较便宜。

    xilouqingzhu 回复:

    @qi, 虚拟主机把

    qi 回复:

    @xilouqingzhu, 虚拟主机国外的普遍比国内的要贵,但是速度慢,你要是建中文网站的话,还是建设使用国内的主机。

    xilouqingzhu 回复:

    @qi, 香港主机有无了解的呢,我给博客搬搬家 :arrow:

    qi 回复:

    @xilouqingzhu, 香港主机基本上都是国人开的,所以不怎么清楚。

    这是农场的第 23 块农田,部落批准 [xilouqingzhu] 在[2017-1-12 14:31]开垦完成.
  • 如果我一个站,绑定了两个域名例如一个是www,一个是m,但是我的免费Ssl只绑定了一个www域名,VPS开启SSL后,WWW是正常,但是没有地方给m域名取消ssl,或者给m域名增加ssl,这种情况能解决吗?

    qi 回复:

    @小龙lo, 你是一个网站两个域名吗?解决办法可以搞一个通配符SSL。m域名应该只能取消SSL了,不能取消吗?

    小龙lo 回复:

    @qi, 在同一个站,可能是我不会如何只取消m的ssl。。。开启ssl后,就都变成https了,只不过m的是不安全链接

    qi 回复:

    @小龙lo, 用的LNMP吗?Nginx里conf应该可以取消了另一个域名的SSL。

    小龙lo 回复:

    @qi, 是的呢。是单独再写一个server {
    listen 80;
    server_name m.xxx.com;
    }
    吗? :???:

    qi 回复:

    @小龙lo, 是的,在443中看看有没有绑定的这个m域名,有的话删除。然后写一段80端口的,就可以了。

    这是农场的第 24 块农田,部落批准 [小龙lo] 在[2017-1-14 23:55]开垦完成.
  • 经测试,彩伞空间网站使用startssl,chrome照样信任

    qi 回复:

    @qiuyming, 最新版本的Chrome应该不信任了吧。

    这是农场的第 25 块农田,部落批准 [qiuyming] 在[2017-1-16 20:45]开垦完成.
  • 楼兰 1

    我想知道startssl通配符是否也被拉黑了= = 没拉黑的话想400大洋搞个自签代码和无限个通配符…

    qi 回复:

    @楼兰, 这个就不知道了。

    这是农场的第 26 块农田,部落批准 [楼兰] 在[2017-2-12 00:12]开垦完成.
  • discuz 不好搞

    qi 回复:

    @桃花路, DZ官方也不重视SSL的问题。

    这是农场的第 27 块农田,部落批准 [桃花路] 在[2017-2-16 14:00]开垦完成.
看贴要回贴有N种理由!看帖不回贴的后果你懂得的!


评论内容 (*必填):
(Ctrl + Enter提交)   

部落快速搜索栏

各类专题梳理

网站导航栏

X
返回顶部