去freessl.org申請免費ssl服務器證書
去freessl.org申請免費ssl服務器證書
來源: https://www.cnblogs.com/osnosn/p/10608455.html 來自osnosn的博客
寫於: 2019-03-30.
- 想搞個自簽名證書,可以參考這篇: 用openssl為WEB服務器生成證書(自簽名CA證書,服務器證書)
以下是正文。
訪問 freessl.org,它會跳到 freessl.cn,這兩站是一樣的:
填入你要申請的域名,比如test.org,選擇一個免費產品。(我為了偷懶,選了個最長的,一年)
填入你的郵箱,似乎沒什麽用。我猜,可能快到期了,會發封郵件提醒你吧。
選擇證書類型:
- RSA,傳統算法。優點,支持好,老的客戶端也支持。缺點,2048以下的都不算安全。密鑰比較大,加密計算慢點(對比ECC)。
- ECC,新算法,橢圓曲線。優點,密鑰小,計算快。缺點,老客戶端可能不支持。不過這年頭,沒什麽老客戶端了。
選擇驗證類型:
- DNS,要把驗證字符串,寫入指定域名的TXT記錄。
- 文件驗證,把驗證字符串,寫入你的web服務器的,指定的路徑的,文件中。
CSR生成:
- 離線生成,你的瀏覽器需要裝個插件(KeyManager 1.2.14以上版本),我沒裝,所以沒用過。
- 瀏覽器生成,edge,chrome,safari,ie11,都支持。唯獨Firefox不支持。其他版本的ie,我不知道。但ie6肯定不支持。
- 我有CSR,自己用openssl生成一個證書請求,上傳給它。這個請求有什麽要求,不清楚,沒試過。
"點擊創建",不會跳出新頁面。下拉當前頁面,在底下。
如果你選擇DNS驗證,就是這個頁面。
就是給域名 _dnsauth.test.org 創建一個TXT記錄。
用linux命令 dig _dnsauth.test.org txt 能顯示那個驗證字符串。
如何設置DNS的TXT記錄,可以參考別人的文章
配置好TXT記錄之後,可能生效需要一點時間(好幾分鐘)。不要著急點中間的"點擊驗證",先點頁面右下角的"配置完成,檢測一下"
因為,"檢測一下" 可以多次檢測。中間的"點擊驗證" 失敗的話,似乎又要重頭搞一遍。
驗證結果,不需要全綠,只要有一個綠的(匹配),你就可以去點之前那個頁面中間的"點擊驗證",生成證書了。
如果你選擇文件驗證,就是這個頁面。
去你的網站,按照要求建立目錄,文件,然後把驗證字符串寫入文件fileauth.txt中。
圖片中的例子中,文件路徑是 /.well-known/pki-validation/fileauth.txt,第一個目錄是點開頭。
你的網站可以是運行在80口(http),
也可以是運行在443口(https),先自己搞個自簽名證書用著,不影響驗證。
網站運行在其他非標準端口的,驗證不支持。
驗證前,可以自己用瀏覽器訪問一下,看能否成功。
同樣,"檢測一下"的頁面,只要有一行綠的(匹配),就OK。你就可以去點擊"點擊驗證",去生成證書了。
最終,你會得到三個內容,CA證書,服務器證書,服務器密鑰。
至於怎麽配置到你的web站上(apache,nginx,iis,...),不在本文範圍。請自行搜索。
轉載請註明來源。
來源: https://www.cnblogs.com/osnosn/p/10608455.html 來自osnosn的博客
-------------end----------------
去freessl.org申請免費ssl服務器證書