Let's Encrypt - 靠譜又免費(fèi)的SSL證書

SSL證書,用于加密HTTP協(xié)議岁歉,也就是HTTPS得运。隨著淘寶、百度等網(wǎng)站紛紛實(shí)現(xiàn)全站Https加密訪問锅移,搜索引擎對(duì)于Https更加友好熔掺,加上互聯(lián)網(wǎng)上越來越多的人重視隱私安全,給網(wǎng)站添加SSL證書似乎成為了一種趨勢(shì)非剃。


Let's Encrypt

Let's Encrypt是國外一個(gè)公共的免費(fèi)SSL項(xiàng)目置逻,由 Linux基金會(huì)托管,它的來頭不小备绽,由Mozilla券坞、思科鬓催、Akamai、IdenTrust和EFF等組織發(fā)起恨锚,目的就是向網(wǎng)站自動(dòng)簽發(fā)和管理免費(fèi)證書宇驾,以便加速互聯(lián)網(wǎng)由HTTP過渡到HTTPS,目前Facebook等大公司開始加入贊助行列猴伶。

Let's Encrypt已經(jīng)得了 IdenTrust的交叉簽名课舍,這意味著其證書現(xiàn)在已經(jīng)可以被Mozilla、Google蜗顽、Microsoft和Apple等主流的瀏覽器所信任布卡,你只需要在Web服務(wù)器證書鏈中配置交叉簽名,瀏覽器客戶端會(huì)自動(dòng)處理好其它的一切雇盖,Let's Encrypt安裝簡(jiǎn)單忿等,未來大規(guī)模采用可能性非常大。

Let's Encrypt 的最有價(jià)值的貢獻(xiàn)是它的 ACME 協(xié)議崔挖,第一份全自動(dòng)服務(wù)器身份驗(yàn)證協(xié)議贸街,以及配套的基礎(chǔ)設(shè)施和客戶端。這是為了解決一直以來HTTPS TLS X.509 PKI 信任模型狸相,即證書權(quán)威(Certificate Authority, CA)模型缺陷的一個(gè)起步薛匪。

經(jīng)過我的測(cè)試,推薦通過https://zerossl.com注冊(cè)一個(gè)免費(fèi)的SSL證書脓鹃。

https://zerossl.com 申請(qǐng)免費(fèi)SSL證書步驟的詳細(xì)介紹:

一逸尖、登錄https://zerossl.com,點(diǎn)擊“ONLINE TOOLS" 按鈕瘸右,選擇在線方式申請(qǐng)免費(fèi)SSL證書娇跟。

第一步、登錄https://zerossl.com太颤,選擇在線申請(qǐng)方式

說明:這里也提供下載軟件苞俘,安裝在本地PC上,運(yùn)行的辦法龄章。但由于這是國外網(wǎng)站吃谣,下載速度較慢,而且在線直接申請(qǐng)很簡(jiǎn)單做裙,不推薦使用本地安裝軟件的方式岗憋。

二、點(diǎn)擊“START"按鈕锚贱,開始申請(qǐng)SSL證書

第二步澜驮、點(diǎn)擊“START"按鈕

三、配置

配置

1. “在第1步”的紅色提示處惋鸥,輸入自己的電子郵箱杂穷。這是可選項(xiàng)悍缠,也可以選擇不輸入。

2. “在第2步”的紅色提示處耐量,輸入需要Https加密訪問的網(wǎng)址飞蚓。

3. “在第3步”的紅色提示處,必須勾選"HTTP verification"廊蜒。

4. “在第4步”的紅色提示處趴拧,"Accept ZeroSSL TOS"和"Accept Let's Encrypt SA(pdf)"。

5. “在第5步”的紅色提示處山叮,點(diǎn)擊”NEXT"按鈕著榴。

6. 點(diǎn)擊”NEXT"按鈕后,頁面有彈窗詢問你是否生成沒有"www"的網(wǎng)址的SSL證書格式屁倔。個(gè)人建議點(diǎn)擊“No"按鈕脑又,因?yàn)樵谥蟮尿?yàn)證環(huán)節(jié),這種模式的在線驗(yàn)證有可能失敗锐借。


開始生成CSR

7. 選擇是否生成沒有"www"的網(wǎng)址的SSL證書格式的彈窗后问麸,開始生成CSR,如上圖所示钞翔,需要等一會(huì)兒严卖。


CSR生成

8 . 如上圖所示,CSR生成后布轿,點(diǎn)擊“NEXT"按鈕哮笆,用于生成account key

正在生成RSA Private Key.

9. 如上圖所示,又需要等一會(huì)兒汰扭,生成了下圖所示的RSA Private Key. 建議點(diǎn)擊紅色方框所示的下載按鈕下載已經(jīng)生成RSA Private Key和CSR疟呐,以防之后驗(yàn)證失敗或意外網(wǎng)絡(luò)中斷需要重復(fù)申請(qǐng)RSA Private Key和CSR。點(diǎn)擊“NEXT”按鈕進(jìn)入驗(yàn)證環(huán)節(jié)东且。


四、驗(yàn)證

1. 進(jìn)入驗(yàn)證頁面后本讥,根據(jù)要求使用get方式訪問"http://你的網(wǎng)址Domain/.well-known/acme-challenge/下面頁面File的字符串"時(shí)珊泳,可以得到頁面中"Text"的字符串,以便實(shí)現(xiàn)驗(yàn)證拷沸。

驗(yàn)證頁面

2. 為了達(dá)到驗(yàn)證的目的色查,可以使用2種方式,即在Nginx或Apache中設(shè)置靜態(tài)訪問文件撞芍, 或者修改web程序秧了。我選擇修改程序,以下是node.js的程序代碼的例子:
----------------------------------------------------------------------------------------

router.get('/.well-known/acme-challenge/:id', function(req, res) {

? res.send('T8YJS_____________________________7tw8r5txSg');

});

----------------------------------------------------------------------------------------

3. 在服務(wù)器驗(yàn)證設(shè)置好后序无,在驗(yàn)證頁面點(diǎn)擊“NEXT”按鈕進(jìn)行驗(yàn)證验毡。

五衡创、 導(dǎo)出生成的SSL證書

導(dǎo)出生成的SSL證書

到了這個(gè)頁面就生成了正式的SSL證書,請(qǐng)下載紅色方塊所示的證書和密鑰晶通。

注意:這個(gè)免費(fèi)SSL證書有效期為90天璃氢,到期后可以免費(fèi)續(xù)期,即重復(fù)這個(gè)注冊(cè)過程狮辽,再次生成新的免費(fèi)SSL證書一也。

注意:下載的證書文件的名稱是"domain-crt.txt",需要修改名稱為"domain.crt"喉脖。

注意:下載的密鑰的名稱是domain-key.txt椰苟,需要修改名稱為"domain.key"。

注意:記得一定要修改這兩個(gè)文件树叽,名稱無所謂舆蝴,但證書文件的文件擴(kuò)展名必須是".crt", 密鑰的文件擴(kuò)展名必須是".key"。我在這里踩了坑菱皆,沒有改擴(kuò)展名须误,造成nginx找不到這兩個(gè)文件。

六仇轻、設(shè)置web服務(wù)器

我的服務(wù)器用的是nginx京痢,nginx的配置文件"nginx.conf"的代碼如下:
--------------------------------------------------------------------------------------

user nginx;

worker_processes auto;

error_log /var/log/nginx/error.log;

pid /var/run/nginx.pid;

events {

???? worker_connections 1024;

}

http {

??? log_format? main? '$remote_addr - $remote_user [$time_local] "$request" '

???????????????????????????????? '$status $body_bytes_sent "$http_referer" '

????????????????????????????????? '"$http_user_agent" "$http_x_forwarded_for"';

??? access_log? /var/log/nginx/access.log? main;

??? sendfile? ? ? ? ? ? on;

??? tcp_nopush? ? ? ? ? on;

??? tcp_nodelay? ? ? ? on;

??? keepalive_timeout? 65;

??? types_hash_max_size 2048;

??? include? ? ? ? ? ? /etc/nginx/mime.types;

??? default_type? ? ? ? application/octet-stream;

??? server {

???????? listen? 80;

???????? server_name? 需要訪問的網(wǎng)址;

? ? ? ? rewrite ^(.*)$ https://$host$1 permanent;

??????? #強(qiáng)制見80端口的訪問轉(zhuǎn)到443的加密端口

??????? location / {

???????????? proxy_set_header X-Real-IP $remote_addr;

???????????? proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

???????????? proxy_set_header Host $http_host;

???????????? proxy_set_header X-NginX-Proxy true;

???????????? proxy_pass http://localhost:2000/;

???????????? proxy_redirect off;

???????? }

??? }

??? server {

??????? listen 443 ssl;

? ? ? ? server_name 需要訪問的網(wǎng)址;

??????? ssl on;

? ? ? ? ssl_certificate 服務(wù)器存放ssl證書文件絕對(duì)路徑/domain.crt;

??????? ssl_certificate_key 服務(wù)器存放ssl證書密鑰文件絕對(duì)路徑/domain.key;

??????? location / {

??????????? proxy_set_header X-Real-IP $remote_addr;

??????????? proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

??????????? proxy_set_header Host $http_host;

??????????? proxy_set_header X-NginX-Proxy true;

??????????? proxy_pass http://localhost:2000;

??????????? proxy_redirect off;

??????? }

??? }

}

----------------------------------------------------------------------------------------

對(duì)于Apache或者IIS的設(shè)置,我不太熟悉篷店,請(qǐng)大家自行百度吧祭椰。




我也研究了一下其它提供免費(fèi)SSL證書網(wǎng)站,向大家做個(gè)介紹疲陕,僅供參考:


StartCom

StartSSL是StartCom公司旗下的SSL證書方淤,應(yīng)該算是免費(fèi)SSL證書中的“鼻祖”,最早提供完全免費(fèi)的SSL證書并且被各大瀏覽器所支持的恐怕就只有StartSSL證書了蹄殃。任何個(gè)人都可以從StartSSL中申請(qǐng)到免費(fèi)一年的SSL證書携茂。如果你有看新聞,也許已經(jīng)知道了“Mozilla正式提議將停止信任 WoSign 和 StartCom 簽發(fā)的新證書”诅岩,對(duì)于StartSSL請(qǐng)觀察事態(tài)發(fā)展后再謹(jǐn)慎使用讳苦。


COMODO

COMODO官網(wǎng)只有免費(fèi)90天的SSL證書試用申請(qǐng),這個(gè)COMODOPositiveSSL證書來自UK2公司吩谦,VPS.net等就是UK2公司旗下的產(chǎn)品鸳谜。目前獲取UK2提供的免費(fèi)COMODO PositiveSSL不需要額外的操作,只需要你先把域名解析到UK2公司的服務(wù)器上式廷,然后在網(wǎng)頁上獲取SSL證書并下載咐扭,最后你就可以解除域名解析抒寂,同時(shí)將下載的域名證書文件上傳到服務(wù)器配置SSL即可懊渡。不過由于是UK2提供的COMODO PositiveSSL免費(fèi)證書踏兜,如果你沒有用他們的主機(jī)總歸不知道哪一天會(huì)出問題的贰谣。


CloudFlare

CloudFlare提供的免費(fèi)SSL證書是UniversalSSL,即通用SSL穗慕,用戶無需向證書發(fā)放機(jī)構(gòu)申請(qǐng)和配置證書就可以使用的SSL證書饿敲,CloudFlare向所有用戶(包括免費(fèi)用戶)提供SSL加密功能。不過Universal SSL的服務(wù)對(duì)免費(fèi)用戶有限制逛绵,CloudFlare只支持?jǐn)U展支持Server Name Indication(SNI)協(xié)議的現(xiàn)代瀏覽器怀各,這意味著它不支持IE6及之前版本、運(yùn)行Android 2.2或更舊版本的Android瀏覽器术浪。


Wosign沃通

Wosign沃通是國內(nèi)一家提供SSL證書服務(wù)的網(wǎng)站瓢对,其免費(fèi)的SSL證書申請(qǐng)比較簡(jiǎn)單,在線開通胰苏,一個(gè)SSL證書只能對(duì)應(yīng)一個(gè)域名硕蛹,支持證書狀態(tài)在線查詢協(xié)議(OCSP)。不過硕并,受“Mozilla正式提議將停止信任WoSign 和 StartCom 簽發(fā)的新證書”的影響法焰,請(qǐng)觀察后再?zèng)Q定是否使用。


騰訊云

騰訊云DV SSL 域名型證書由賽門鐵克提供自動(dòng)審核認(rèn)證倔毙,快速簽發(fā)埃仪,支持自動(dòng) CSR 生成、域名身份 DNS 自動(dòng)驗(yàn)證陕赃,一步提交申請(qǐng)卵蛉,審核簽發(fā)流程全自動(dòng)∶纯猓可以一鍵部署到騰訊云資源傻丝。需要注意的是必須使用騰訊云才能夠使用DV SSL 域名型證書,騰訊云可是收費(fèi)的诉儒。


360網(wǎng)站衛(wèi)士葡缰、百度云加速與Symantec等合作推出了免費(fèi)的SSL證書,其實(shí)類似于上面的騰訊云DV SSL證書忱反,只不過360網(wǎng)站衛(wèi)士如果要使用SSL證書必須得實(shí)名認(rèn)證而且還得使用他們家的CDN泛释。而百度云加速則只能使用百度云服務(wù)器才可以申請(qǐng)免費(fèi)SSL證書。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末缭受,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子该互,更是在濱河造成了極大的恐慌米者,老刑警劉巖,帶你破解...
    沈念sama閱讀 216,402評(píng)論 6 499
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場(chǎng)離奇詭異蔓搞,居然都是意外死亡胰丁,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,377評(píng)論 3 392
  • 文/潘曉璐 我一進(jìn)店門喂分,熙熙樓的掌柜王于貴愁眉苦臉地迎上來锦庸,“玉大人,你說我怎么就攤上這事蒲祈「氏簦” “怎么了?”我有些...
    開封第一講書人閱讀 162,483評(píng)論 0 353
  • 文/不壞的土叔 我叫張陵梆掸,是天一觀的道長(zhǎng)扬卷。 經(jīng)常有香客問我,道長(zhǎng)酸钦,這世上最難降的妖魔是什么怪得? 我笑而不...
    開封第一講書人閱讀 58,165評(píng)論 1 292
  • 正文 為了忘掉前任,我火速辦了婚禮卑硫,結(jié)果婚禮上徒恋,老公的妹妹穿的比我還像新娘。我一直安慰自己欢伏,他們只是感情好入挣,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,176評(píng)論 6 388
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著颜懊,像睡著了一般财岔。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上河爹,一...
    開封第一講書人閱讀 51,146評(píng)論 1 297
  • 那天匠璧,我揣著相機(jī)與錄音,去河邊找鬼咸这。 笑死夷恍,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的媳维。 我是一名探鬼主播酿雪,決...
    沈念sama閱讀 40,032評(píng)論 3 417
  • 文/蒼蘭香墨 我猛地睜開眼,長(zhǎng)吁一口氣:“原來是場(chǎng)噩夢(mèng)啊……” “哼侄刽!你這毒婦竟也來了指黎?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 38,896評(píng)論 0 274
  • 序言:老撾萬榮一對(duì)情侶失蹤州丹,失蹤者是張志新(化名)和其女友劉穎醋安,沒想到半個(gè)月后杂彭,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,311評(píng)論 1 310
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡吓揪,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,536評(píng)論 2 332
  • 正文 我和宋清朗相戀三年亲怠,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片柠辞。...
    茶點(diǎn)故事閱讀 39,696評(píng)論 1 348
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡团秽,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出叭首,到底是詐尸還是另有隱情习勤,我是刑警寧澤,帶...
    沈念sama閱讀 35,413評(píng)論 5 343
  • 正文 年R本政府宣布放棒,位于F島的核電站姻报,受9級(jí)特大地震影響,放射性物質(zhì)發(fā)生泄漏间螟。R本人自食惡果不足惜吴旋,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,008評(píng)論 3 325
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望厢破。 院中可真熱鬧荣瑟,春花似錦、人聲如沸摩泪。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,659評(píng)論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽见坑。三九已至嚷掠,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間荞驴,已是汗流浹背不皆。 一陣腳步聲響...
    開封第一講書人閱讀 32,815評(píng)論 1 269
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留熊楼,地道東北人霹娄。 一個(gè)月前我還...
    沈念sama閱讀 47,698評(píng)論 2 368
  • 正文 我出身青樓,卻偏偏與公主長(zhǎng)得像鲫骗,于是被迫代替她去往敵國和親犬耻。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,592評(píng)論 2 353

推薦閱讀更多精彩內(nèi)容