startssl证书申请
Prestep 前提步骤
*1、Account Application注册帐号:
● 使用email注册账号。(注意需要提供较为真实的信息,否则可能会被拒绝)
● 若已经有账号,但本机没有,需要导入证书方能登陆。startssl是用证书而非用户
名密码方式登录的
*2、Domain name validation域名验证:(参看下面详细步骤)
登录后还要验证域名才能为该域名生成SSL证书,可以选择在whois里的邮箱
([domain]@protecteddomainservices.com)、hostmaster@domain、 postmaster@domain或者
webmaster@domain,然后就可以在Certificates wizard里就可以申请SSL证书了。
○ {验证域名:
startssl > control panel>
Validations Wizard> Domain name validation
>select email选择邮箱(whois 邮箱domain_name@protecteddomainservices.com )
>you will get the verification code in the email and then entry it in next step. }
*3、证书申请Certificates application
note:startssl具体规则,可以参考官方说明。以下是申请具体步骤
HOW to use startssl to deploy HTTPS server
1)openssl req new newkey rsa:2048 nodes out [yourdomain].csr keyout [yourdomain].key
note:1、2步骤需要在本地或服务器(linux/unix)命令行下操作,生成密钥和证书请求文件。下面步骤需要在startssl
上操作
3,submit your CERTIFICATE REQUEST...
【presetup】在此之前,需要确保
○ 验证域名
○ 主域名及申请证书的域名不能用于商业用途(如:页面有withdraw,deposit)。
因此特别要求,游戏线路域名,不指派web。
you should validate domain name advanced
{验证域名:
startssl > control panel>
Validations Wizard> Domain name validation
>select email选择邮箱(whois 邮箱domain_name@protecteddomainservices.com )
>you will get the verification code in the email and then entry it in next step. }
note: 后来发现startssl不提供用whois邮箱接收邮件,因此需要我们通过其他方式,如设置name的email forwarding 服
务。
4,在www.name.com 里set email forward给任何任何一个邮件。
name.com > Choose domain "[DOMAIN]" > select email forwarding.
Example:
把postmaster@yourdomain.com转发去xxxxxx@gmail.com.
#要设定DNS record.
# Mx yourdomain.com mx3.name.com
name.com里
# 等24小时生效后才能用。有问题,请发邮件给support@name.com查询。申请证书:
登录startssl,control panel>Certificate Wizard>web server SSL/TLS certificates
> skip “generate private key” >Submit Certificate Request (CSR)
>”Certificate Request Received” continue >” Add Domains”: 下拉框选中域名
> add one sub domain >”Ready Processing Certificate” continue
>”Additional Check Required!”
waiting at most 3 hours>,
>The Toolbox>Retrieve Certificate> 选中域名,下一步复制认证文件保存为crt文件
4,得到认证证书后,下载,保存为[yourdomian].crt,(修改证书权限为640或更低)
并下载startssl根证书和sub calss1 证书,
wget www.startssl.com/certs/ca.pem
wget www.startssl.com/certs/sub.class1.server.ca.pem
【optional】合并证书:
#cat ca.pem sub.class1.server.ca.pem >>[yourdomian].crt
note:HG不需要合并证书,则直接将以上文件发给对方即可。
重要说明:
1. kbet88证书使用redwootech@gmail的startssl账户
2. 之前其他证书使用legend99tech@gmail的startssl账户(vm_firefox)
3.
Annex
配置使用证书
【optional】step5,6 for tomcat only
Tomcat 支持 JKS 和 PKCS#12 格式的 keystore,JKS 格式是标准的 “Java Keystore”格式,使用 keytool 命令产生;
而 PKCS#12 格式则可以通过使用Openssl中的转换工具转换而成。
5,生成keystore.pkcs12
#openssl pkcs12 export in xxxx.com.crt inkey xxxxx.com.key out keystore.pkcs12 name
tomcat需要输入
Enter pass phrase for xxxx.com.key:
Enter Export Password:
Verifying Enter Export Password:
检验:
#keytool list rfc keystore keystore.pkcs12 storetype pkcs12
注意: 结果中要含有如下的一行 "Certificate chain length: 3" /认证链长度: 3
6,导入keystore
#keytool importkeystore srckeystore keystore.pkcs12 srcstoretype PKCS12 destkeystore .keystore srcalias
tomcat destkeypass Ad@sd119
7, 配置tomcat/nginx/
tomcat: keystore 配置
<Connector protocol="org.apache.coyote.http11.Http11Protocol"
address="123.123.123.123" port="443" minSpareThreads="5" maxSpareThreads="75"
enableLookups="true" disableUploadTimeout="true"
acceptCount="100" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="/opt/tomcat_xxx/conf/.keystore" keystorePass="xxxxxx" keyAlias="tomcat.xxxcom"
clientAuth="false" sslProtocol="TLS"/>
nginx:
listen 80;
listen 443;
ssl on;
ssl_certificate /usr/local/nginx/cert/xxxx6658.crt;
ssl_certificate_key /usr/local/nginx/cert/xxxx.key;
error_page 497 "https://$host$uri$is_args$args";
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
A,注意事项:所有步骤中建议使用同一套密码Ad@sd119
参考:
1. 申请 http://jeeker.net/article/applysslcertificatfordomainfromstartssl/
2. 证书介绍及设置 http://blog.csdn.net/f7anty/article/details/8512376
No comments:
Post a Comment