startssl在9月微软补丁更新中被支持,使得startssl证书得到承认。
申请流程如下 startssl.com
我的环境是windows 7
请不要使用chrome和IE8,否则将无法生成KEY而无法申请成功。建议使用firefox。
此外我还遇上了点意外,我使用的移动的网络被误判为澳大利亚的IP并收到邮件要求解释。
我将APNIC的查询地址和查询结果发送给对方后帐户才申请成功。
control panel / sign-up 注意填写正确资料。收到邮件后复制验证码。然后可以生成一个证书,注意,startssl.com不是以用户名、密码来验证用户的,是用证书来验证用户的。
所以生成证书后(火狐会导入证书),注意备份证书。丢失证书后只能重新注册。
登录后还要验证域名才能为该域名生成SSL证书,可以选择在whois里的邮箱、hostmaster@domain、postmaster@domain或者webmaster@domain
然后就可以在Certificates wizard里就可以申请SSL证书了。
有效期一年。
======2009/11/26 update===========
Toolbox
把你申请时的private key拿去Decrypt private key,然后把生成的key保存起来。
然后在Retieve certificate里选择你申请的域名,就可以得到cer文件,保存起来,放到nginx的conf目录。
在nginx里这样配置
- server
- {
- server_name security.meettea.com;
- listen 443;
- index index.html index.htm index.php;
- root /data0/htdocs/security.meettea.com;
- ssl on;
- ssl_certificate security.cer;
- ssl_certificate_key security.key;
- }
nginx -s reload下如果没有任何提示,就说明配置成功了。
效果https://security.meettea.com/
可惜firefox3.5测试,不信任class 1的证书。
==============2009/11/26 update===================
在startssl forum看到官方人员说firefox3.5不支持是因为没有配置好。经过配置解决了firefox 3.5不信任该证书的问题,ubuntu studio下测试通过。
步骤是:获取https://www.startssl.com/certs/ca.pem
获取https://www.startssl.com/certs/sub.class1.server.ca.pem
cat ca.pem sub.class1.server.ca.pem >> ca-certs.crt
cat ca-certs.crt >> security.cer
这是因为需要把startssl的根证书和sub class1的证书附上,因为是他们把证书颁发给你,firefox需要这张证书才认识你的证书。 :)
此外opera测试没通过,这点,连startssl.com自己都没有被opera通过。