字體:  

在 ubuntu nginx下安裝 Godaddy SSL 憑證

altis 發表於: 2013-10-28 15:39 來源: ADJ網路控股集團


這篇是自己使用 Godaddy SSL 的購買與安裝流程~~

1. 確認網域資訊

在購買 SSL 之前,必須先擁有一個認證的網域。我們可以使用 whois 來查詢網域的申請資料。whois 查詢出來的資料,請確定 “Administrative Contact Email” 的電子信箱是正確的。因為 SSL 會以此信箱為對象寄發。

2. 產生 Private Key / CSR (Certificate signing request)

$ openssl genrsa –out server.key 2048
(一定要記得你輸入的 passphrase)

$ openssl req -new -key server.key -out server.csr

Country Name (2 letter code) [AU]: TW
State or Province Name (full name) [Some-State]: Taiwan
Locality Name (eg, city) []: Taichung
Organization Name (eg, company) [Internet Widgits Pty Ltd]: ADJ
Organizational Unit Name (eg, section) []: IT Department
Common Name (eg, YOUR name) []: <your-domain> (這裡一定要輸入正確的網域)
Email Address []: 

Please enter the following 'extra' attributes to be sent with your certificate request
A challenge password []: (可不填)
An optional company name []: (可不填)

3. Godaddy SSL

Godaddy SSL 的大類分為 “Standard SSL” 及 “Deluxe SSL",進一步又可再細分為 "Single Domain"、"Multiple Domain” 及 “Unlimited Sub Domains"。你可以在網站上試算一下何方案對你比較有利。我自己用的是 Single Domain…

購買後約等幾分鐘,你就會收到 Godaddy 寄發的訊息。此時登入 Godaddy 後台,你可以在 "SSL Certificates” 看到你購買的紀錄。接著從 “Pending Request” 中設定你的 SSL。若你是購買 “Multiple Domain",則可以設定多個。

切記,若你的伺服器不是放在 Godaddy 自家的服務,設定的時候寄得要選 "Third Party, or Dedicated Server or Virtual Dedicated Server”。

當 Godaddy 要求你提供 CSR (Certificate signing request) 時,請將先前產生的 server.csr 的內容全部貼上。

設定完成後,Godaddy 會寄發 whois 提供的電子信箱,裡面附著認證碼。唯有通過認證後,SSL 才會由 “Pending Request” 變更為 “Certificates"。

4. 下載 SSL

從 Godaddy 下載 SSL 時,會包含兩個檔案:

    <your-domain>.crt
    gd_bundle.crt

記得要將 "gd_bundle.crt” 的內容全部貼到 <your-domain>.crt,否則有些瀏覽器會不支援你的 SSL。

5. 伺服器配置 SSL

準備好 server.key 以及 server.crt (包括 gd_bundle.crt 的內容)。

以 Nginx 為例:

server {
    listen 443;
    server_name example.com;
    ssl on;
    ssl_certificate /etc/nginx/certs/server.crt;
    ssl_certificate_key /etc/nginx/certs/server.key;
}

重新啟動 Nginx 時,會詢問先前產生 crt 時所輸入的 passphrase,輸入正確才會正常啟動。

6. 移除 passphrase

有些人會因為某些原因移除 passphrase 保護。若有這個需求,可以執行:

$ cp server.key server.key.org
$ openssl rsa -in server.key.org -out server.key

然後用這個 key 取代先前的 key,如此每次啟動網頁伺服器的時候就不會再詢問 passphrase。

參考網站:
1.http://www.gcos.me/2013-08-08_buy-ssl-from-godaddy.html
2.http://big5.china-code.net/ap-ccFEct-358118.html