StartSSL 免費證書申請步驟

StartSSL 免費證書申請步驟
一、客戶端認證申請

StartSSL用戶認證使用的是Https客戶端證書認證而非用戶名/密碼認證。所以第一步是申請StartSSL客戶端證書。

（整個申請過程可參考連接：http://jeeker.net/article/apply-ssl-certificat-for-domain-from-startssl/）

 

1）  填寫申請單，首頁-sign up free 。注意郵箱必須真實，電話，地址等看上去像私人的而非公司的，必須使用英文填寫。

2）  到郵箱接收郵件，填寫認證碼。

3）  等待審覈，通常6小時內會審覈完畢。到郵箱接收郵件，收到郵件後要在24小時內申請客戶端證書。

4）  申請客戶端證書。申請成功後，注意備份證書，在IE 選項—內容—證書—我的—導出窗口中。

 

 

在申請時須要注意的幾個問題：

1）  StartSSL針對的是私人註冊，而非組織認證，所以填寫的地址信息，電話信息等應該是我的的。假的也要看起來像。

2）  StartSSL填寫的都是英文信息，不要使用中文填寫。

3）  收到郵件後，寫入驗證碼，下一步，要注意時間限制，StartSSL用6個小時來完成申請審覈。而後發送審覈郵件到你的郵箱。此時，給你的申請客戶端證書驗證碼只有24小時的時間有效性。也就是要在24小時內完成客戶端申請。

二、域名認證申請。

1）進入Control Panel（可能須要點擊Authenticate並使用上一步生成的證書才能看到圖示的頁面），選擇Validations Wizard，類型選擇Domain Name Validation。

2）輸入域名。

3）選擇一個有效的郵箱接收驗證碼，可使用域名WHOIS中的郵箱或默認網站管理者郵箱（沒有帶域名的郵箱可選擇使用網易免費企業郵等服務）。

4）收到郵件後，輸入郵件中的驗證碼。

5）域名全部者驗證成功。

 

在申請時須要注意的幾個問題：

1）  域名是主域名。

2）  郵箱必須可用，而且應該隨時接收。

三、SSL證書申請

1.選擇Certificates Wizard進入SSL證書生成嚮導，證書目標選擇Web Server SSL/TLS Certificate

2.輸入10-32位密碼生成祕鑰。必須記住密碼，不要忘記。

3.備份祕鑰，將文本框內的內容保存成一個文本文件，如ssl.key。使用ansi方式保存。

4.選擇上一步驗證了的域名。

5.添加子域名。

6.確認域名子域名信息，準備生成證書。

7.備份生成的證書，將文本框內容保存成一個文本文件，如ssl.crt。使用ansi方式保存。在下面intermediate連接中下載中間證書sub.class1.server.ca.pem。 root證書ca.pem也要下載。

 

申請完成，下面是安裝步驟。

 

第四步爲apache的安裝，必須解密私鑰。

 

 

五、tomcat下的安裝。

將StartSSL生成的證書應用到tomcat下很複雜，參考這篇文章（https://adaptivekanban.com/blog/2012/07/how-to-use-startssl-certificates-with-apache-tomcat/），或者我下面的說明均可以。

 

1）解密祕鑰

 

在使用證書證書以前還須要對生成的祕鑰解密，可以使用命令openssl rsa -in ssl.key -out ssl_decrypted.key，或者是StartSSL提供的工具: Tool Box - Decrypt Private Key，生成的內容另存爲文件，如ssl_decrypted.key。

 

2）建立pkcs12文件。

使用StartSSL的ToolBox --Create PKCS#12 (PFX) File .

其中Private Key:爲解密的密鑰文件。獲取的文件名存爲out.p12 .

 

 

3）利用pkcs文件生成keystore文件

利用java利用的keytool工具，在java安裝目錄中的bin目錄下。

 

keytool.exe -importkeystore -deststorepass  changeit -destkeystore mykeystore.jks -srckeystore out.p12 -srcstoretype PKCS12 -srcstorepass changeit

 

4）導入StartSSL的ca證書以及1級中級服務器CA

StartSSL的ca證書在第三步的第7小步中已經下載。或者到StartSSL的ToolBox-- StartCom CA Certificates-- StarCom Root CA (PEM Encoded) 下載這個證書。

1級中級服務器在第三步的第7小步中已經下載。或者到StartSSL的ToolBox-- StartCom CA Certificates-- Class 1 Intermediate Server CA 下載這個證書

 

keytool.exe -import -alias startsslca -file ca.pem -keystore mykeystore.jks ；

keytool.exe -import -alias startsslca2 -file sub.class1.server.ca.pem -keystore mykeystore.jks ；

 

5）配置Tomcat

修改Tomcat目錄下confg目錄中的server.xml文件。放開一下內容

 

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               clientAuth="false" sslProtocol="TLS"

               keystoreFile="D:\\apache-tomcat-7.0.16-account\\mykeystore.jks" keystorePass="changeit "/>

 

 

這樣啓動是通常會報apr錯誤。

通常的處理方法是修改server.xml文件，屏蔽掉

 

<!--<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />-->    

 

想要更多解決方法的能夠參考這篇文章（http://lixor.iteye.com/blog/1532655）

 

正常就能夠啓動ssl了。

 

六、Apache下的安裝

參考這篇文章（http://blog.mowd.tw/index.php?pl=950）

 

若是使用的是加密的ssl.key 則每次啓動apache時都要輸入密碼。（未測試）

 

在httpd.conf 中增長一下內容：注意ssl.key 是解密的。

 SSLCertificateFile /etc/pki/tls/certs/ssl.crtSSLCertificateKeyFile /etc/pki/tls/private/ssl.keySSLCertificateChainFile /etc/pki/tls/sub.class1.server.ca.pemSSLCACertificateFile /etc/pki/tls/ca.pem