StartSSL(網址:http://www.startssl.com立由,公司名:StartCom)也是一家CA機構,它的根證書很久之前就被一些具有開源背景的瀏覽器支持(Firefox瀏覽器、谷歌Chrome瀏覽器、蘋果Safari瀏覽器等)阵子。
現在往果,微軟在升級補丁中磷雇,更新了通過Windows根證書認證程序(Windows Root Certificate Program)的廠商清單羔砾,并首次將StartCom公司列入了該認證清單,這是微軟首次將提供免費數字驗證技術的廠商加入根證書認證列表中相艇。
在Windows 7或安裝了升級補丁的Windows Vista或Windows XP操作系統(tǒng)中颖杏,系統(tǒng)會完全信任由StartCom這類免費數字認證機構認證的數字證書,從而使StartSSL也得到了IE瀏覽器的支持坛芽。
注冊成為StartSSL(http://www.startssl.com)用戶留储,并通過郵件驗證后,就可以申請免費的可信任的SSL證書了咙轩。
步驟比較復雜获讳,申請向導的主要步驟如下(假設為域名www.test.com申請證書):
1. 訪問http://www.startssl.com?申請免費的SSL證書
2.下載www.test.com.zip文件,解壓文件活喊,得到2個文件:1_www.test.com_bundle.crt? 2_www.test.com.key丐膝,將其改名為?www.test.com.crt,www.test.com.key 傳到nginx服務器
3. 修改nginx配置
4. 重啟nginx? systemctl restart nginx
我們做數據接口簽名認證的時候钾菊,會從授權方得到一個證書文件帅矗,有時候是pfx類型的,那么需要將pfx為nginx需要的crt煞烫,key文件浑此。
pfx證書的密碼,一般是授權方提供滞详。
# openssl pkcs12 -in?www.test.com.pfx?-nocerts -nodes -out? www.test.com.key
Enter Import Password:?此處輸入證書密碼
MAC verified OK?
# openssl pkcs12 -in?www.test.com.pfx?-clcerts -nokeys -out? www.test.com.crt
Enter Import Password:?此處輸入證書密碼
MAC verified OK
客戶端如果想要跟有?www.test.com.key 和?www.test.com.crt 的 服務端通過https通信凛俱,那么需要將簽發(fā)?www.test.com.crt 機構的證書(ca.crt)導入到客戶端:
客戶端為Windows,需要導入客戶端器瀏覽器
客戶端為Linux料饥,需要導入Linux操作系統(tǒng)證書相關目錄蒲犬,如CentOS7.x
# cp? ca.crt? ?/etc/pki/ca-trust/source/anchors/
# update-ca-trust
參考
openssl相關指令及生成私有證書
https://blog.csdn.net/u014753393/article/details/50935398
使用 openssl 生成證書
