想寫這篇文章已經很久了，但是每次更新SSL Certificate時，有時候都要等個幾小時的驗證，就一直拖…

一年更新一次，我大概也拖了兩次了吧…哈哈…

Step 1. 去gandi.net的官網，自行註冊，這邊就不多加說明了。

Step 2. 登入後，點選左邊選單，選SSL憑證，右邊點購買。

這邊的前提是你已經擁有domain name，購買域名說明可以參考這裡。

畢竟gandi.net的新網站設計得比以前好懂很多…

Step 3. 他會問你SSL Certificate要放在何處，點其他主機。

Step 4. 如果只是做blog用，選標準憑證就可以了，選保護單一位址。

Step 5. 接著我們要產生CSR檔，請開啟你要放SSL憑證的主機command line。

輸入:

openssl req -nodes -newkey rsa:2048 -sha256 -keyout myserver.key -out server.csr

他會問你一些資訊:

Country Name (2 letter code) [AU]: TW
State or Province Name (full name) [Some-State]: Taiwan
Locality Name (eg, city) []: Taipei
Organization Name (eg, company) [Internet Widgits Pty Ltd]: MyCompany Inc.
Organizational Unit Name (eg, section) []: IT
Common Name (eg, YOUR name) []: yourdomain.com
Email Address []: [email protected]
A challenge password []: 可不填
An optional company name []: 可不填

然後你會看到產生的兩個檔案: myserver.key, server.csr

Step 6. copy 你的CSR內容貼到gandi.net的頁面上

cat server.csr

可cat後複製

注意這邊要確認簽屬名稱與你要保護的域名相同

Step 7. 這邊建議你的域名是在gandi.net一起買的，這樣驗證方法就可以自動跳過。

Step 8. 加入購物車

Step 9. 他會要你填一下發票資訊，可以用中文。

Step 10.  一次買兩年會比較便宜，我目前看到一年是NT.410，兩年NT.690。不過還要加5%加值稅。

Step 11. 付款不用我多說了，竟然可以用比特幣付，這家公司真的很潮~ 不愧是NoBullshit~

Step 12. 我是用信用卡付款，之後他會顯示訂單處理中，會在完成後寄確認信給你。

Step 13. 收到確認信後，可直接點確認信中的連結，會帶你到憑證驗證程序的頁面。

Step 14. 如果你目前的程序是卡在域名所有權驗證，那便可以開始下一步動作，點選旁邊的編輯圖案。

Step 15. 我建議用檔案驗證，因為驗證的最快。

Step 16. 確認後，要下載他給的檔案並放到主機中他指定的位置。

你可以點選檔案的網址，看是否能看到檔案內容，就知道他能不能驗證得到檔案。

Step 17. 用檔案驗證真的超快…我大概只等了10分鐘不到，就收到驗證成功的確認信。(我之前是用收email方式，但等半天都沒收到。)

Step 18. 可繼續點確認信中的連結，下載yourdomain.com.crt和中繼憑證(.pem)

Step 19. 把.pem加在yourdomain.com.crt後面

cat GandiStandardSSLCA2.pem >> yourdomain.com.crt

Step 20. 接下來要去編輯伺服器的設定檔，我自己用的是Nginx

我的設定檔放在/etc/nginx/conf.d/default.conf

 

server {
    ...
    ssl_certificate     /etc/nginx/ssl/yourdomain.com.crt
    ssl_certificate_key /etc/nginx/ssl/myserver.key
    ...
}

Step 21. 檢查設定檔是否有錯並重新載入設定檔

sudo nginx -t
sudo systemctl reload nginx.service

就可以去https://yourdomain.com看看是否成功