SSL Certificate for Your Website
想寫這篇文章已經很久了,但是每次更新SSL Certificate時,有時候都要等個幾小時的驗證,就一直拖…
一年更新一次,我大概也拖了兩次了吧…哈哈…
Step 1. 去gandi.net的官網,自行註冊,這邊就不多加說明了。
Step 2. 登入後,點選左邊選單,選SSL憑證,右邊點購買。
這邊的前提是你已經擁有domain name,購買域名說明可以參考這裡。
畢竟gandi.net的新網站設計得比以前好懂很多…
Step 3. 他會問你SSL Certificate要放在何處,點其他主機。
Step 4. 如果只是做blog用,選標準憑證就可以了,選保護單一位址。
Step 5. 接著我們要產生CSR檔,請開啟你要放SSL憑證的主機command line。
輸入:
openssl req -nodes -newkey rsa:2048 -sha256 -keyout myserver.key -out server.csr
他會問你一些資訊:
Country Name (2 letter code) [AU]: TW State or Province Name (full name) [Some-State]: Taiwan Locality Name (eg, city) []: Taipei Organization Name (eg, company) [Internet Widgits Pty Ltd]: MyCompany Inc. Organizational Unit Name (eg, section) []: IT Common Name (eg, YOUR name) []: yourdomain.com Email Address []: [email protected] A challenge password []: 可不填 An optional company name []: 可不填
然後你會看到產生的兩個檔案: myserver.key, server.csr
Step 6. copy 你的CSR內容貼到gandi.net的頁面上
cat server.csr
可cat後複製
注意這邊要確認簽屬名稱與你要保護的域名相同
Step 7. 這邊建議你的域名是在gandi.net一起買的,這樣驗證方法就可以自動跳過。
Step 8. 加入購物車
Step 9. 他會要你填一下發票資訊,可以用中文。
Step 10. 一次買兩年會比較便宜,我目前看到一年是NT.410,兩年NT.690。不過還要加5%加值稅。
Step 11. 付款不用我多說了,竟然可以用比特幣付,這家公司真的很潮~ 不愧是NoBullshit~
Step 12. 我是用信用卡付款,之後他會顯示訂單處理中,會在完成後寄確認信給你。
Step 13. 收到確認信後,可直接點確認信中的連結,會帶你到憑證驗證程序的頁面。
Step 14. 如果你目前的程序是卡在域名所有權驗證,那便可以開始下一步動作,點選旁邊的編輯圖案。
Step 15. 我建議用檔案驗證,因為驗證的最快。
Step 16. 確認後,要下載他給的檔案並放到主機中他指定的位置。
你可以點選檔案的網址,看是否能看到檔案內容,就知道他能不能驗證得到檔案。
Step 17. 用檔案驗證真的超快…我大概只等了10分鐘不到,就收到驗證成功的確認信。(我之前是用收email方式,但等半天都沒收到。)
Step 18. 可繼續點確認信中的連結,下載yourdomain.com.crt和中繼憑證(.pem)
Step 19. 把.pem加在yourdomain.com.crt後面
cat GandiStandardSSLCA2.pem >> yourdomain.com.crt
Step 20. 接下來要去編輯伺服器的設定檔,我自己用的是Nginx
我的設定檔放在/etc/nginx/conf.d/default.conf
server { ... ssl_certificate /etc/nginx/ssl/yourdomain.com.crt ssl_certificate_key /etc/nginx/ssl/myserver.key ... }
Step 21. 檢查設定檔是否有錯並重新載入設定檔
sudo nginx -t sudo systemctl reload nginx.service
就可以去https://yourdomain.com看看是否成功