Mar 19, 2018 6 min read Tutorial

再談網站HTTPS升級

Y.Cheung 曾於 2016 年時寫過一篇《 Centos 7 使用 certbot 安裝Let’s Encrypt SSL 證書》，最近因爲幫忙升級了幾個站點，使用了一些免費/收費的SSL憑證服務，特寫此篇記錄一下流程思路送給整天吐槽Y.Cheung沒耐心教人的某只。

一、申請憑證的準備工作

申請憑證前，首先你要確認是否有域名DNS解析控制的權限，或者服務器檔案上傳的權限，或者能使用域名管理郵箱，以便簽發憑證的組織機構能夠驗證這個域名的所有權，然後準備一個申請（CSR）。

製作一個CSR (Certificate Signing Request)文件

CSR是向Certificate Authority (CA)申請憑證的標準格式，它通過private key加密，内容包含有Country Name (CN)囯碼，Organization Name (O)組織名稱，Organization Unit (OU)部門名稱，Locality (L)所在城市，State or Province Name (ST)所在州或省，Country (C)國家（地區），Email Address，Root Length鑰匙長度，Signature Algorithm簽名算法。

Google關鍵詞 “How to Generate a CSR” 能找到多種環境下產生CSR的方法，你也可以在綫WEB生成CSR，比如https://csrgenerator.com/ 。本文只介紹在Nginx (OpenSSL)環境中如何生成CSR。

很簡單，一條命令達成：

openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr

然後根據屏幕提示一項項輸入Common Name,Organization Name等。文件名可以隨便起，不重要。 'extra' attributes可以按enter鍵略過不輸入。比如這樣：

openssl req

你會看到生成了一個server.key和server.csr文件。

server.key是私鑰（private key），在服務器上部署SSL的時候會用到。一般private key内容長這樣：

server.csr在去CA申請憑證的時候會用到。一般CSR内容像這樣：

二、申請憑證

1. 填寫表單

按各CA需求填寫申請憑證表單，在CSR欄位將剛才準備好的CSR文件内容置入。有的CA需要以上傳文件的方式提供，有的則是textarea表單，需要在本地使用記事本（推薦sublime text）之類的工具打開server.csr文件，複製粘貼其全部内容填入表單。

2. 驗證域名所有權

一般有三種方式驗證域名所有權：

Email驗證：CA會發送郵件至域名管理郵箱，默認發送[email protected]，[email protected]，[email protected]，[email protected]，[email protected]或者域名whois中所填寫的郵箱（所以有時候你也需要在申請憑證時暫停你的whois privacy protect讓CA能識別到正確的郵箱地址）
上傳文件認證： CA會提供特別的文件讓你放到該域名可公開HTTP/HTTPS訪問的指定目錄下，一般是放在/.well-known/下。
CNAME認證： CA會讓你在所申請的域名DNS記錄中增加一條指定的CNAME記錄來驗證。

3. 下載憑證

通過域名驗證后就能下載你所申請的憑證了，有些CA會寄送至你注冊郵箱中。

三、安裝憑證

以下簡略介紹一下再部分環境中如何安裝憑證，更詳細的内容可以自行Google。

NGINX安裝及設定SSL

使用命令行cat your_domain_name.crt CAROOT.crt >> bundle.crt或者用記事本將申請來的域名憑證（通常以申請域名為文件名）與根憑證串聯成一個文件。(2020年更新：可以使用諸如https://tools.keycdn.com/certificate-chain 服務來生成信任鏈，複製粘貼Certificate Chain至新建文件*.crt中)

將串聯后的檔案（ca-bundle file）以及製作CSR檔時的private key上傳至服務器，比如放在這裏/var/ssl/。

然後在virtual host config文件中作相應的SSL配置，可以參考nginx的説明《Configuring HTTPS servers》，比如這樣

server {
        listen 443 ssl;
        server_name          your.domain.name;
        ssl_certificate      /var/ssl/your_domain_name.crt;
        ssl_certificate_key  /var/ssl/your_domain_name.key;
        root /your_www_document;
        index index.php index.html index.htm;
        ...  ...
}

APACHE安裝及設定SSL

APACHE安裝SSL的步驟大致同上，virtual host配置參考官方文檔《SSL/TLS Strong Encryption: How-To》，比如這樣：

...
<IfModule mod_ssl.c>
        <VirtualHost _default_:443>
                DocumentRoot /var/www/html/public

                <Directory />
                        Options FollowSymLinks
                        AllowOverride All
                </Directory>
                <Directory /var/www/public>
                        Options Indexes FollowSymLinks
                        AllowOverride All
                        Require all granted
                </Directory>
                ErrorLog ${APACHE_LOG_DIR}/error.log
                CustomLog ${APACHE_LOG_DIR}/access.log combined

                SSLEngine on
                SSLCertificateFile    /var/ssl/your_domain_name.crt
                SSLCertificateKeyFile /var/ssl/your_domain_name.key
                <FilesMatch "\.(cgi|shtml|phtml|php)$">
                                SSLOptions +StdEnvVars
                </FilesMatch>
                <Directory /usr/lib/cgi-bin>
                                SSLOptions +StdEnvVars
                </Directory>

        </VirtualHost>
</IfModule>
...

奇怪的DOMLINUX管理界面安裝及設定SSL

在系統設定/憑證管理中將private key内容粘貼至伺服器金輪欄位，申請來的域名憑證内容粘貼至憑證證書書欄位。

在其他伺服器/WEB伺服器中編輯所要添加SSL的域名，啓用SSL並將阜號修改為443。如需强制轉址HTTP至HTTPS，可新增一條同名域名記錄，阜號80，不啓用SSL，並在進階手動設置中添加apache rewrite規則，比如：

<IfModule mod_rewrite.c>
    RewriteEngine On

    RewriteCond %{HTTPS} off
    RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

</IfModule>

以上。

如有未盡事宜，之後更新或者再寫一篇。