@IM網站記錄（一） =》免費https證書

@IM是爲了方便印象搜索網盤 而開發的及時通信系統。如今準備開闢一個專欄來寫我在開發此網站遇到的點點滴滴。這是第一篇：免費https證書。

免費https證書網上一搜，基本上就定位Start SSL這個https證書服務提供商，主要根據下面這邊博客來申請證書：

http://www.freehao123.com/startssl-ssl/

根據博客指引，申請下來證書，主要包括兩個文件：

im.impress-ssl.key
im.impress-ssl.crt

申請下來的 im.impress-ssl.key 是包含密碼信息在裏面的，不能直接使用，在使用nginx進行驗證時，是須要輸入密碼的，啓動nginx因爲招不到密碼，會致使啓動失敗，因此須要去掉密碼信息：

openssl rsa -in im.impress-ssl.key -out unpass-im.impress-ssl.key

原本這樣就基本能夠了，可是，Start SSL會在Firefox, Opera, IE上會報證書不識別的錯誤，只有Chrome能識別，根據如下文章，http://www.gaojinbo.com/nginx-https-%E5%85%8D%E8%B4%B9ssl%E8%AF%81%E4%B9%A6%E9%85%8D%E7%BD%AE%E6%8C%87%E5%8D%97.html 

==============2009/11/26 update===================

在startssl forum看到官方人員說firefox3.5不支持是由於沒有配置好。通過配置解決了firefox 3.5不信任該證書的問題，ubuntu studio下測試經過。

步驟是:獲取https://www.startssl.com/certs/ca.pem

獲取https://www.startssl.com/certs/sub.class1.server.ca.pem

cat ca.pem sub.class1.server.ca.pem >> ca-certs.crt

cat ca-certs.crt >> security.cer

全部執行操做：

wget https://www.startssl.com/certs/ca.pem
wget https://www.startssl.com/certs/sub.class1.server.ca.pem
cat ca.pem sub.class1.server.ca.pem >> ca-certs.crt

# 就是添加Start SSL服務商的信息
cat ca-certs.crt >> im.impress-ssl.crt

添加SSL到nginx服務器：

   server {
        listen       443 ssl;
        server_name  im.impress.pw;                                                                                                                  
        root    im_root;
        index   index.htm;

        ssl_certificate      ssl/im.impress-ssl.crt;
        ssl_certificate_key  ssl/unpass-im.impress-ssl.key;
        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m; 
        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on; 

.....
}

重啓nginx，OK！