SSL 证书购买以及Nginx配置相关问题

使用https的网站越来越多了，不仅可以增加网络数据传输的安全性，还行增加搜索引擎的友好度。越来越多的个人站长也开始使用https，我们要赶得上趋势啊。

使用https的第一个问题就是要有CA证书，使用免费的，还是收费的？哪种证书比较好？哪家的证书比较便宜？下面是搜集到一些知识，学习和备用。

很多付费的证书机构会提供限时的免费证书来体验，免费的其实也很多，基本都有时间上的限制。

支持单个域名的最便宜，支持多个域名，和支持任意自域名的会贵很多。

购买网站

证书的购买网站，一般都卖很多种

rapidsslonline SSL 证书的购买与 Nginx 下的配置

startssl.com 可以申请免费证书 1年的

Namecheap

SSLs 感觉还不错

cheapssl

gogetssl 有便宜证书，也有免费的

GoDaddy 就是那个卖域名比较火的网站

其他很多

证书颁发机构，前面的几种见到的更多，什么类型和流量的网站推荐用什么还不是很了解

Let’s Encrypt：免费，快捷，支持多域名（不是通配符），三条命令即时签署+导出证书。缺点是暂时只有三个月有效期，到期需续签

StartSSL 免费DV证书

Comodo PositiveSSL：便宜，单年9美刀，如果签三年大概每年4至5美刀。可签署ECC SSL证书

RapidSSL：单年签署价格同PositiveSSL，并没有什么优缺点

沃通（Wosign）免费DV证书, 最近比较火，不推荐。 Github事件已经失去信任

globalsign

VeriSign

geotrust

Symantec 据说比较高级，也比较贵

其他很多

这个网站可以查查 IDC点评，看起来大部分都是面向企业的。

证书相关知识

影响证书的价格的一些因素

证书的等级 DV OV EV 三种

是否支持多域名 支持单个域名的最便宜，支持多个域名，和支持任意自域名的会贵很多。

支持多服务器

加密强度

证书的等级

CA机构颁发的证书有3种类型：

域名型SSL证书（DV SSL）：信任等级普通，只需验证网站的真实性便可颁发证书保护网站；

企业型SSL证书（OV SSL）：信任等级强，须要验证企业的身份，审核严格，安全性更高；

增强型SSL证书（EV SSL）：信任等级最高，一般用于银行证券等金融机构，审核严格，安全性最

最低等级的有免费的，付费的一年几美元也能买到

SSL 证书服务，大家用哪家的

错误记录

NGINX配置Let’s Encrypt证书，Firefox无法打开

使用 certbot 这个工具来生成

Let's Encrypt

的证书，部署到nginx在 firefox 浏览器无法打开显示

sec_error_unknown_issuer

, 说没有信任的中间证书提供商。

接着就在 SSL测试在线测试网站 ssltest 进行测试，会有这么一个警告

This server's certificate chain is incomplete. Grade capped to B.

然后google了下，看到别人提到

cert.pem  chain.pem  fullchain.pem

这个几个文件才想起来(certbot自动生成)，是不是配的又问题呢？

于是 cert.pem（证书链残缺了) 替换成 fullchain.pem 就好了。

ssl_certificate  /etc/letsencrypt/live/blog.orangleliu.info/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/blog.orangleliu.info/privkey.pem;

Nginx ssl相关的配置

server {
listen 443 ;
server_name blog.orangleliu.info;
ssl on;
ssl_certificate  /etc/letsencrypt/live/blog.orangleliu.info/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/blog.orangleliu.info/privkey.pem;

ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
ssl_ciphers EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA512:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:ECDH+AESGCM:ECDH+AES256:DH+AESGCM:DH+AES256:RSA+AESGCM:!aNULL:!eNULL:!LOW:!RC4:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS;
ssl_prefer_server_ciphers   on;
ssl_dhparam /etc/ssl/dhparam.pem;

keepalive_timeout 70;
ssl_session_cache shared:SSL:2m;
ssl_session_timeout 2m;

add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains';
ssl_stapling on;
ssl_stapling_verify on;
resolver 8.8.8.8;

location / {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header HOST $http_host;
proxy_set_header X-NginX-Proxy true;
proxy_set_header X-Forwarded-Proto $scheme;

proxy_pass http://127.0.0.1:9988; proxy_redirect off;
}

location ~ ^/(shared/|built/) {
root /www/ghost/core;
access_log off;
expires 7d;
}

location ~ ^/(content/images/) {
root /www/ghost;
access_log off;
expires 7d;
}

location ~ ^/assets {
root /www/ghost/content/themes/grayliner ;
access_log off;
expires 7d;
}
}

server {
listen 80;
server_name blog.orangleliu.info;
rewrite ^/(.*)$ https://$server_name$request_uri permanent;
}

其他

一行命令查看某个网站ssl证书的过期时间，这是 运维开发群 ��爷的分享, Centos可以运行

# echo | openssl s_client -connect blog.orangleliu.info:443 2>/dev/null | openssl x509 -enddate -noout
notAfter=Jan 26 06:57:00 2017 GMT