本文講述如何免費申請SSL證書，并搭建https網站，由于服務器是NGINX，順便會介紹如何安裝SPDY協議。

StartSSL介紹：

StartSSL是一家CA機構，它的根證書很久之前就被一些具有開源背景的瀏覽器支持（Firefox瀏覽器、谷歌Chrome瀏覽器、蘋果Safari瀏覽器等）。

在今年9月份，StartSSL竟然搞定了微軟：微軟在升級補丁中，更新了通過Windows根證書認證程序（Windows Root Certificate Program）的廠商清單，并首次將StartCom公司列入了該認證清單，這是微軟首次將提供免費數字驗證技術的廠商加入根證書認證列表中。現在，在Windows 7或安裝了升級補丁的Windows Vista或Windows XP操作系統中，系統會完全信任由StartCom這類免費數字認證機構認證的數字證書，從而使StartSSL也得到了IE瀏覽器的支持。

StartSSL申請注意事項：

（1）需要一個域名，并開通域名郵箱，郵箱前綴為：webmaster這樣的信息，一定要開通一個webmaster@yourdomainname.com這樣的域名，這個會用來驗證你的域名；

（2）申請時一定要填寫完整正確的信息，否則無法通過申請，我就是因為第一次填寫的地址信息不全，沒有通過，一般添寫正確的地址很快就會通過的；

（3）打開網站 在control panel / sign-up 注意填寫正確資料。收到郵件后復制驗證碼。然后可以生成一個證書，注意，startssl.com不是以用戶名、密碼來驗證用戶的，是用證書來驗證用戶的。所以生成證書后(火狐會導入證書)，注意備份證書。丟失證書后只能重新注冊。

（4）登錄后還要驗證域名才能為該域名生成SSL證書，可以選擇在whois里的郵箱、hostmaster@domain、postmaster@domain或者webmaster@domain

（5）然后就可以在Certificates wizard里就可以申請SSL證書了。

（6）有效期一年（到期前會收到郵件通知續期）。

申請流程：

所有的資料都最好使用正確的。因為注冊SSL是一件很嚴肅的事情。還有就是如果你的IP地址是在大陸，你輸入香港也是會被拒絕的。而且你的地址也是也是要詳細的。按照表單寫完以后點擊Continue按鈕。然后你填寫的郵箱會收到一個驗證碼。 上面說大概需要等6個小時收到通知，其實一般一兩分鐘就會出結果

打開你的郵箱，把驗證碼輸入到你的瀏覽器Code的框里，然后繼續。

通過后，會收到通過驗證的郵件，然后給你一個URL，輸入到瀏覽器中進行下一步安裝證書。如果彈出的窗口依然還讓你輸入Code，那則輸入郵件下面鏈接的Code。

點擊Continue，接下來你的瀏覽器開始安裝私鑰，相當于建立用戶名密碼

然后密鑰安裝成功以后提示你開始安裝證書。

證書安裝完畢以后會祝賀你一下。點擊完成。 這時給你會收到郵件說你安裝好啦，可以使用了。

在Validations Wizard選擇里驗證你的域名。按照提示操作就行了，它會掃描你的網站上的郵箱，然后列出來，會給你的郵箱發一封信，所以你一定要有一個企業郵箱來收信的。域名驗證成功后，接下來申請域名SSL證書。

點擊Certificates Wizard ，選擇下拉菜單中的Web Server SSL/TSL Certificate

然后進入下一步他會問你驗證方式，這一步如果你跳過需要在VPS上設置，具體可以見網站：http://blog.nicky1605.com/the-free-ssl-configuration-startssl-on-nginx.html

如果沒有跳過，你必須設置密碼，不少于10位的。然后點擊下一步生成一段字符串

這一小的操作中會出現兩段字條串，一段類似這樣的

• -----BEGIN RSA PRIVATE KEY-----
• Proc-Type: 4,ENCRYPTED
• DEK-Info: AES-256-CBC,1FBB7A12C5332861D52FEDFA2E3E7AE3
• ....

復制內容保存為 /etc/ssl/certs/xxxx.crt

一段類似這樣的

• ----BEGIN CERTIFICATE-----
• MIIGdTCCBV2gAwIBAgIDYTrWMA0GCSqGSIc3FQEBBQUAMIGMMQswCQYDVQQGEwJJ
• ...

復制內容保存為 /etc/ssl/certs/xxxx.key

下面就是配置你的VPS上的NGINX服務器了。

• vi /usr/local/nginx/conf/vhost/xxxx.conf

在Server里添加

• listen 443 ssl spdy;
• ssl                     on;
• ssl_certificate         /etc/ssl/certs/xxxx.crt;
• ssl_certificate_key     /etc/ssl/certs/xxxx.key;
• ssl_session_timeout     10m;
• ssl_protocols           SSLv2 SSLv3 TLSv1;
• ssl_ciphers             ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
• ssl_prefer_server_ciphers       on;

Shell 如果你想讓http跳轉到https下，需要再加一段代碼

• if ($ssl_protocol = "") {
• rewrite ^/(.*)$ https://www.domain.com/$1 permanent;
• }

Shell 如果出現循環重定向，檢查下你的網站根目錄下，是否有.htaccess文件，因為我的服務器是lnmpa的，apache的重定向文件還是會起作用的，檢查下有無重定向到http的，一般是301重定向需要修改下。

上面這些做完之后，還需要另外對firefox瀏覽器作一些配置更改

到/etc/ssl/certs/xxxx.crt所在目錄執行以下代碼

• wget http://cert.startssl.com/certs/sub.class1.server.ca.pem

• ca.pem sub.class1.server.ca.pem >> xxxx.crt

Shell 就是向 xxx.crt里面追加一些內容，這樣firefox就不會提示證書不安全了。

下就是重啟你的nginx服務器，但這里會提示你需要輸入Enter PEM pass phrase

總不能每次重啟都要輸入那個密碼吧，這個可以跳過的，方法按照我之前的一篇文章操作

http://www.love4026.org/313864/lnmp%E4%B8%8Bnginx%E9%85%8D%E7%BD%AEssl%E5%AE%89%E5%85%A8%E8%AF%81%E4%B9%A6%E9%81%BF%E5%85%8D%E5%90%AF%E5%8A%A8%E8%BE%93%E5%85%A5enter-pem-pass-phrase/

SPDY協議安裝

你要先下載最新的 OpenSSL，比如 1.0.1e，這里是下載列表，紅色標注的就是最新版了。因為前些時間的openssl漏洞，現在linode好像自動已經升級到最新版1.0.1e了。

但還是需要下載，解壓

• cd /tmp
• wget http://www.openssl.org/source/openssl-1.0.1e.tar.gz
• tar zxvpf openssl-1.0.1e.tar.gz

Shell   然后下載最新的Nginx

先用 /usr/local/nginx/sbin/nginx -V 這個是查看nginx安裝了什么模塊 安裝的時候把這些都再加上

Shell wget http://nginx.org/download/nginx-1.7.2.tar.gz
tar zxvf nginx-1.7.2.tar.gz
cd nginx-1.7.2
./configure --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-http_gzip_static_module --with-ipv6 --with-pcre --with-http_sub_module --with-http_spdy_module --with-openssl=/tmp/openssl-1.0.1e
mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.old
cp objs/nginx /usr/local/nginx/sbin/nginx
/usr/local/nginx/sbin/nginx -t
make upgrade
/usr/local/nginx/sbin/nginx -v      

上面需要注意的是./configure –with-http_ssl_module –with-http_spdy_module –with-openssl=/tmp/openssl-1.0.1e 這是最小安裝方法，你需要根據自己的配置安裝，上面是lnmpa下面的。

–with-openssl=/tmp/openssl-1.0.1e 路徑就是剛下載的那個路徑。

再配置完成后，執行 /etc/init.d/nginx reload 或 /usr/local/nginx/sbin/nginx -s reload 重載 Nginx 配置文件即可正常訪問了。

如果你不想使用 SPDY ，記得修改Server里的 listen 443 ssl spdy; 改為 listen 443 ssl;

如何查看有沒有啟用SPDY成功沒

在Chrome瀏覽器里打開 chrome://net-internals/#spdy 便能查看目前使用SPDY的連接。

或者使用插件查看， https://chrome.google.com/webstore/detail/spdy-indicator/mpbpobfflnpcgagjijhmgnchggcjblin

補充：關于 “此網頁包含的腳本來自于身份未經驗證的源” 的提示信息

出現這個一般是因為在網頁內容中加載了其它不帶https的內容，比如加載了google font

<link  rel='stylesheet' type='text/css'>

XHTML 一般解決辦法就是把資源下載到本地，然后使用相對路徑，或者使用https的資源地址。

google 支持https連接，上面的情況你可以直接改為：

<link  rel='stylesheet' type='text/css'>