全球可信並且唯一免費的HTTPS(SSL)證書頒發機構:StartSSL
HTTPS(全稱:Hypertext Transfer Protocol over Secure Socket Layer),是以安全為目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容請看SSL。
它是一個URI scheme(抽象識別符號體系),句法類同http:體系。用於安全的HTTP資料傳輸。https:URL表明它使用了HTTP,但HTTPS存在不同於HTTP的預設埠及一個加密/身份驗證層(在HTTP與TCP之間)。這個系統的最初研發由網景公司進行,提供了身份驗證與加密通訊方法,現在它被廣泛用於全球資訊網上安全敏感的通訊,例如交易支付方面。
1、自行頒發不受瀏覽器信任的SSL證書:
HTTPS的SSL證書可以自行頒發,Linux下的頒發步驟如下:
openssl genrsa -des3 -out api.bz.key 1024
openssl req -new -key api.bz.key -out api.bz.csr
openssl rsa -in api.bz.key -out api.bz_nopass.key
Nginx.conf的SSL證書配置,使用api.bz_nopass.key,在啟動Nginx是無需輸入SSL證書密碼,而使用api.bz.key則需要輸入密碼:
{
server_name sms.api.bz;
listen 443;
index index.html index.htm index.php;
root /data0/htdocs/api.bz;
ssl on;
ssl_certificate api.bz.crt;
ssl_certificate_key api.bz_nopass.key;
......
}
自行頒發的SSL證書雖然能夠實現加密傳輸功能,但得不到瀏覽器的信任,會出現以下提示:
跟VeriSign一樣,StartSSL(網址:http://www.startssl.com,公司名:StartCom)也是一家CA機構,它的根證書很久之前就被一些具有開源背景的瀏覽器支援(Firefox瀏覽器、谷歌Chrome瀏覽器、蘋果Safari瀏覽器等)。
在今年9月份,StartSSL竟然搞定了微軟:微軟在升級補丁中,更新了通過Windows根證書認證程式(Windows Root Certificate Program)的廠商清單,並首次將StartCom公司列入了該認證清單,這是微軟首次將提供免費數字驗證技術的廠商加入根證書認證列表中。現在,在Windows 7或安裝了升級補丁的Windows Vista或Windows XP作業系統中,系統會完全信任由StartCom這類免費數字認證機構認證的數字證書,從而使StartSSL也得到了IE瀏覽器的支援。
註冊成為StartSSL(http://www.startssl.com)使用者,並通過郵件驗證後,就可以申請免費的可信任的SSL證書了。步驟比較複雜,就不詳細介紹了,申請向導的主要步驟如下:
3、使用案例:
使用StartSSL免費SSL證書的HTTPS(SSL)網站示例:
https://sms.api.bz
4、小插曲:
StartSSL雖然提供的是免費的SSL證書,但服務態度是非常不錯的。之前StartSSL並不支援.bz結尾的域名,因為我有一個api.bz域名需要SSL證書,所以我發了份郵件給StartSSL的管理員,要求增加.bz域名,中間還因為.bz域名註冊機構對whois查詢有限制,出現了一些比較麻煩的問題,最終StartSSL通過修改程式,支援了.bz域名。
本文轉載自:http://www.linuxidc.com/Linux/2011-11/47478.htm
非常感謝!