如何購買與安裝SSL憑證

SSL憑證是由可信度高的簽證單位，經過資料審核後用來認證網域(DN)為可信任的網站的一種機制，所以電商網站幾乎都會申請此憑證用來加強自己網站的安全性與信任度，擁有SSL憑證的網站就可以經過設定https加密瀏覽。沒有憑證也不是不能設定，只是會出現警告訊息，所以錯誤的設定可能就會讓使用者離開網站。

 

幾乎所有的SSL憑證，就如同網域一樣，都是要收費的；但是我們可以找到一些免費的申請憑證方式，只是都有些條件存在，例如：Let’sEncrypt。今天要介紹的是StartSSL，主要是介紹申請與安裝的流程，其他也有很多像是DigiCert，GoDaddy，VerySign…等很多技術人耳熟的簽證單位，不過主要流程都是大同小異。

 

接下來介紹的例子以StartSSL.com的簽證流程為主，會用這間來介紹有幾個原因：

 

1.免費流程與正式購買憑證的流程相同，很適合用來做範例。

免費時間結束時，直接付費續約即可。

2.第一年免費。

免費試用一年這點遠比其他家的試用期要長(多數都不到90天)。

雖然說免費一年，可是他也是有些缺點的，詳待後述。

首先不外乎是先到他的網站，https://www.startssl.com/，註冊帳號。

他的網站註冊的過程就是使用憑證的模式，所以你會發現只要認證許可了，不需要密碼就可以登入，不過註冊完成時能進行管理的只有你現在註冊的這台電腦+這個網頁瀏覽器。

那麼以下就開始正式的介紹申請流程。

 

 

1.一開始，StartSSL會要求要有已驗證網域，才能開始申請SSL憑證；所以我們先點“Validations Wizard"，先至少驗證一個網域：

 

 

2.輸入我們要驗證的網域了，選擇信箱收信來驗證：

 

 

3.信箱收到的驗證信如下圖，注意內容有提到“verification of domain"：

 

複製驗證碼回去剛才的畫面上輸入，完成了網域驗證，表示您擁有網域的管理權，可以在右側看到已驗證的網域。

 

 

4.現在我們可以開始SSL憑證的申請了，點頁籤的“Certificates Wizard"

 

 

5.接下來要輸入想要驗證的網域名稱，免費申請的網域最多只能5個，並且子網域也計算在內，例如xxx.com，video.xxx.com這樣是計算為2個的；這點跟網域管理的習慣不太相同，請注意(網域購買後，通常子網域設定數量是沒有上限的)。

 

輸入完網域後，下半部份因為需要提供網站伺服器資訊，所以需要到伺服器上產生資料來繼續，伺服器環境以Ubuntu Linux，Nginx為例：

上圖的Country Name開始往下是需要輸入的資料，最重要的資料是Common Name，要填入剛剛我們網頁上輸入的網域，下面extra的部份可以不填。

 

這麼一來，[domain].key與[domain].csr就建立好了，檔案要留下來，申請完後還會用到；接下來複製註冊要求的csr加密文字，繼續申請步驟。

 

選擇"General by myself"，貼上後送出。

 

接下來申請的動作都已經完成了，如果到“Certificate List"，會看到“Class 1 SSL"是“Pending issue"的狀態。

再來就是前面說的缺點了，不知道是因為時差還是別的原因，他的審核時間有點久(筆者測試，早上10點多申請完成，當天晚上快12點才審核通過)，不過因為申請可以免費使用一年，所以還算是可以接受的囉。

 

然後如果審核通過，狀態會變為“Issued"，可以透過“Retrieve"下載憑證檔案，畫面如下：

 

下載的zip檔案解開，就會看到不同的軟體環境要選擇不同的檔案來設定，當然我們的選擇是Nginx：

 

快要完成了，再來解壓縮檔案後，會拿到一個類似“1_[domain]_bundle.crt"的檔案，請傳到要設定的主機裡：

 

/etc/nginx/sites-available/[domain].conf設定檔案

…server {...
listen 443 ssl default_server;
listen [::]:443 ssl default_server;
ssl_certificate [上傳的檔案放置路徑]/1_[domain]_bundle.crt;
ssl_certificate_key [之前與csr檔案一起產生的key檔案路徑]/[domain].key;...
}
...

設定好後，重新啟動Nginx

指令

service nginx restart

現在可以打開網頁，輸入網址，在https旁的圖示點一下，點“連線"，會出現如下圖憑證商(StartCom)的資訊，代表安裝成功：

以上就是StartSSL.com申請SSL憑證與安裝的過程，不同憑證商的申請流程差別不大，比較明顯差異大致如以下數項：

 

• 等待憑證下來的時間長短。
• 是否有免費提供，免費提供的時間長短。
• 若申請的不是免費的憑證，執行過程繳費的時間點不同。

 

除了如上的部份差異外，SSL憑證申請的基本過程如下：

 

在憑證商網站註冊->

在憑證商網站認證網域->

在網站主機上產生key(金鑰)與csr->

在憑證商網站填寫想要申請SSL的網域與子網域，貼上csr進行申請->

申請完成後，取得crt檔，放到網站主機上設定。

 

 

 

 

參考資源：

What is an SSL Certificate?

Symantec SSL Certificates

Godaddy SSL 購買與安裝

StartSSL.com

Nginx Server SSL Certificate Installation