NameCheap的PositiveSSL證書的正確安裝方式

之前已經安裝過一次了,然後忘記續費了,造成了網站打不開或者提示證書不正確的問題。

一路上,自己各種搜索發現很多博主的文章都有紕漏。我建議各位不要用免費證書,免費沒有什麼好東西,還不夠時間折騰的呢。

第一,namecheap是不允許提前續費SSL證書的,第二,證書續費也是要重新提交CSR文件(CSR顧名思義就是Certificate Signing Request,證書註冊提交文件)。

我用的是LNMP環境,web解析服務器是用的Nginx,直接用putty連上去,然後用命令:

openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr

這裡需要你提前把OpenSSL組件先安裝好才可以使用該行命令,​​建議把server.key或者server.csr換寫成你的域名,比如xxx.com.key 和xxx.com.csr,這樣為了避免以後不知道該文件是什麼。

然後會提示你輸入一堆信息,

Country Name (2 letter code) [XX]:LA

State or Province Name (full name) []:LA

Locality Name (eg, city) [Default City]:LA

Organization Name (eg, company) [Default Company Ltd]:LA

Organizational Unit Name (eg, section) []:LA

Common Name (eg, your name or your server’s hostname) []:*.xxx.org

Email Address []:[email protected]

Please enter the following ‘extra’ attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

這裡必須注意幾點,common name的地方是輸入域名的,比如網址www.xxx.com,你要確定你的證書能否滿足泛域名,如果可以做泛域名證書的話,那就輸入*.xxx. com,來通配符操作。而positivessl我測試後,發現不允許通配符域名證書,那我就用www.xxx.com,然後當客戶輸入打開xxx.com的時候,在nginx配置文件裡面直接設置跳轉即可。

生成了csr文件,可以用cat命令或者FTP複製出來到本地,用notepad++打開復制,然後放入namecheap的網頁中。

複製如下圖中的選中部分:

然後復製到namecheap

然後需要驗證域名的所有權,有3種方式,一種是http-base,也就是上傳某個文件到你的根目錄,還有是dns-record,DNS記錄,添加cname記錄,我用的就是這個,還有一種就是域名所有郵箱,收郵件,由於我保護隱私,郵件均不可到達。

我用的是DNSpod的解析服務,CNAME記錄添加沒一會兒就驗證成功了,然後CSR文件中的郵件也收到了證書包。

下載證書包,解壓,只要裡面的crt文件即可,其他都不要。

crt的文件名格式應該是www_xxx_com.crt的,把該文件上傳到/usr/local/nginx/conf/,其實你放哪裡都可以,只是這個conf配置文件是我用偽靜態rewrite規則用的目錄,然後順便也把之前用openssl命令生產的xxx.com.key也放入這個目錄。

在當前目錄下的vhost的子目錄文件夾裡面,打開對應網站的conf文件。

server

{

listen 443 ssl http2;

server_name www.xxx.org xxx.org;

ssl on;

ssl_certificate www_xxx_org.crt;

ssl_certificate_key www_xxx_org.key;

index index.html index.htm index.php default.html default.htm default.php;

root /home/wwwroot/www.xxx.org;

include xxx.conf;

#error_page 404 /404.html;

添加红色代码,并且在底部添加一个跳转,把xxx.com跳转到www.xxx.com (添加紅色代碼,並且在底部添加一個跳轉,把xxx.com跳轉到www.xxx.com)

server {

listen 80;

server_name www.xxx.org xxx.org;

return 301 https://www.xxx.org$request_uri;

}

 

然後這裡要注意的是,文件名要保持一致,就如上面的紅色字體的www_xxx_org.crt和www_xxx_org.key,因為生成出來的key的文件名默認會成為www.xxx.com(或org).key所以要把點號“.”變成“_”,否則會報錯找不到key文件。

然後輸入lnmp restart就OK了,可愛的小鎖又出來了。

本文標題:《NameCheap的PositiveSSL證書的正確安裝方式》,本文鏈接:http://www.yunjialebuy.com/archives/1211.html