NameCheap的PositiveSSL證書的正確安裝方式

之前已經安裝過一次了，然後忘記續費了，造成了網站打不開或者提示證書不正確的問題。

一路上，自己各種搜索發現很多博主的文章都有紕漏。我建議各位不要用免費證書，免費沒有什麼好東西，還不夠時間折騰的呢。

第一，namecheap是不允許提前續費SSL證書的，第二，證書續費也是要重新提交CSR文件（CSR顧名思義就是Certificate Signing Request，證書註冊提交文件）。

我用的是LNMP環境，web解析服務器是用的Nginx，直接用putty連上去，然後用命令：

openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr

這裡需要你提前把OpenSSL組件先安裝好才可以使用該行命令，​​建議把server.key或者server.csr換寫成你的域名，比如xxx.com.key 和xxx.com.csr，這樣為了避免以後不知道該文件是什麼。

然後會提示你輸入一堆信息，

Country Name (2 letter code) [XX]:LA

State or Province Name (full name) []:LA

Locality Name (eg, city) [Default City]:LA

Organization Name (eg, company) [Default Company Ltd]:LA

Organizational Unit Name (eg, section) []:LA

Common Name (eg, your name or your server’s hostname) []:*.xxx.org

Email Address []:[email protected]

Please enter the following ‘extra’ attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

這裡必須注意幾點，common name的地方是輸入域名的，比如網址www.xxx.com，你要確定你的證書能否滿足泛域名，如果可以做泛域名證書的話，那就輸入*.xxx. com，來通配符操作。而positivessl我測試後，發現不允許通配符域名證書，那我就用www.xxx.com，然後當客戶輸入打開xxx.com的時候，在nginx配置文件裡面直接設置跳轉即可。

生成了csr文件，可以用cat命令或者FTP複製出來到本地，用notepad++打開復制，然後放入namecheap的網頁中。

複製如下圖中的選中部分：

然後復製到namecheap

然後需要驗證域名的所有權，有3種方式，一種是http-base，也就是上傳某個文件到你的根目錄，還有是dns-record，DNS記錄，添加cname記錄，我用的就是這個，還有一種就是域名所有郵箱，收郵件，由於我保護隱私，郵件均不可到達。

我用的是DNSpod的解析服務，CNAME記錄添加沒一會兒就驗證成功了，然後CSR文件中的郵件也收到了證書包。

下載證書包，解壓，只要裡面的crt文件即可，其他都不要。

crt的文件名格式應該是www_xxx_com.crt的，把該文件上傳到/usr/local/nginx/conf/，其實你放哪裡都可以，只是這個conf配置文件是我用偽靜態rewrite規則用的目錄，然後順便也把之前用openssl命令生產的xxx.com.key也放入這個目錄。

在當前目錄下的vhost的子目錄文件夾裡面，打開對應網站的conf文件。

server

{

listen 443 ssl http2;

server_name www.xxx.org xxx.org;

ssl on;

ssl_certificate www_xxx_org.crt;

ssl_certificate_key www_xxx_org.key;

index index.html index.htm index.php default.html default.htm default.php;

root /home/wwwroot/www.xxx.org;

include xxx.conf;

#error_page 404 /404.html;

添加红色代码，并且在底部添加一个跳转，把xxx.com跳转到www.xxx.com (添加紅色代碼，並且在底部添加一個跳轉，把xxx.com跳轉到www.xxx.com)

server {

listen 80;

server_name www.xxx.org xxx.org;

return 301 https://www.xxx.org$request_uri;

}

然後這裡要注意的是，文件名要保持一致，就如上面的紅色字體的www_xxx_org.crt和www_xxx_org.key，因為生成出來的key的文件名默認會成為www.xxx.com(或org).key所以要把點號“.”變成“_”，否則會報錯找不到key文件。

然後輸入lnmp restart就OK了，可愛的小鎖又出來了。

本文標題：《NameCheap的PositiveSSL證書的正確安裝方式》，本文鏈接：http://www.yunjialebuy.com/archives/1211.html