摘要：概述基礎(chǔ)服務(wù)器操作系統(tǒng)服務(wù)器免費(fèi)認(rèn)證服務(wù)協(xié)議運(yùn)行機(jī)制的概述百度百科解釋安全套接層及其繼任者傳輸層安全，是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。通過(guò)驗(yàn)證的郵件的，輸入到瀏覽器中進(jìn)行下一步安裝證書(shū)。配置訪問(wèn)重啟訪問(wèn)訪問(wèn)域名顯示工作正常。

ssl基礎(chǔ)
服務(wù)器操作系統(tǒng)：aliyun ubuntu 12.04
WEB服務(wù)器：nginx 1.4.x
免費(fèi)ssl認(rèn)證服務(wù)：startssl.

百度百科解釋：

SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全（Transport Layer Security，TLS）是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密。

詳情參見(jiàn)阮一峰老師的網(wǎng)絡(luò)日志
《SSL/TLS協(xié)議運(yùn)行機(jī)制的概述》

StartSSL是StartCom公司旗下的SSL證書(shū)，貌似是現(xiàn)在唯一一家提供免費(fèi)SSL證書(shū)服務(wù)并且被主流瀏覽器支持的免費(fèi)SSL，包括Chrome、Firefox、IE等瀏覽器都可以正常識(shí)別StartSSL，任何個(gè)人都可以從StartSSL中申請(qǐng)到免費(fèi)一年的SSL證書(shū)。
StartSSL申請(qǐng)雖然要審核，但是一般十幾分鐘就會(huì)回復(fù)郵件了。而且經(jīng)過(guò)部落的幾次申請(qǐng)測(cè)試發(fā)現(xiàn)，StartSSL申請(qǐng)審核并不嚴(yán)格，如果遇到問(wèn)題，你只要回復(fù)一封郵件過(guò)去回答郵件當(dāng)中所提的問(wèn)題，通過(guò)率幾乎是100%。
使用StartSSL前必須先在自己的電腦上安裝StartSSL證書(shū)，這個(gè)證書(shū)就是你用來(lái)登錄和管理StartSSL申請(qǐng)到的SSL唯一憑證，沒(méi)有了這個(gè)憑證就無(wú)法對(duì)已經(jīng)申請(qǐng)的SSL進(jìn)行管理和續(xù)期了，只能重新申請(qǐng)一個(gè)了，所以需要特別保存好。

打開(kāi)網(wǎng)站以后找到Sign-up按鈕，果斷按下去，然后出來(lái)輸入你的個(gè)人資料的表單，進(jìn)行提交。

所有的資料都最好使用正確的。因?yàn)樽?cè)SSL是一件很?chē)?yán)肅的事情。還有就是如果你的IP地址是在大陸，你輸入香港也是會(huì)被拒絕的。而且你的地址也是也是要詳細(xì)的。 按照表單寫(xiě)完以后點(diǎn)擊Continue按鈕。然后你填寫(xiě)的郵箱會(huì)收到一個(gè)驗(yàn)證碼。

把驗(yàn)證碼輸入到你的瀏覽器Code的框里，然后繼續(xù)。

然后再受到驗(yàn)證郵箱的驗(yàn)證碼，再輸入到瀏覽器中。然后等待驗(yàn)證，他說(shuō)了6個(gè)小時(shí)，其實(shí)一般一兩分鐘就會(huì)出結(jié)果。

通過(guò)驗(yàn)證的郵件的URL，輸入到瀏覽器中進(jìn)行下一步安裝證書(shū)。如果彈出的窗口依然還讓你輸入Code，那則輸入郵件下面鏈接的Code。 點(diǎn)擊Continue，接下來(lái)你的瀏覽器開(kāi)始安裝私鑰，相當(dāng)于建立用戶名密碼。

然后密鑰安裝成功以后提示你開(kāi)始安裝證書(shū)。

證書(shū)安裝完畢以后會(huì)祝賀你。點(diǎn)擊完成。

然后會(huì)給你發(fā)郵件說(shuō)你安裝好啦，可以使用了。

服務(wù)器需要openssl 支持，并安裝了nginx.

root@iZ238l3t:~# cd /etc/nginx/
root@iZ238l3t:~# mkdir ssl
root@iZ238l3t:~# cd ssl
root@iZ238l3t:~# openssl genrsa -out server.key 2048
root@iZ238l3t:~# openssl req -new -key server.key -out server.csr

查看/etc/nginx/ssl 目錄下將會(huì)生成兩個(gè)文件（server.key和server.csr）

安裝提示輸入按在startssl中填寫(xiě)的一樣就可以了。
先復(fù)制server.csr文件夾中的內(nèi)容，會(huì)在接下來(lái)過(guò)程中需要。

在控制面板中Validations Wizard的選項(xiàng)卡中選擇Domain Name Validation，然后輸入你的域名。（這個(gè)驗(yàn)證期30內(nèi)有效）

接下來(lái)他會(huì)提示讓你選擇以下幾個(gè)郵箱中的任意一個(gè)來(lái)發(fā)送驗(yàn)證碼，其中我選擇的郵箱是他根據(jù)Whois查到的管理郵箱。如果你不想使用管理員郵箱你可以建立一個(gè)他提示的郵箱。

然后把收到的驗(yàn)證碼再輸入到Code框中，域名驗(yàn)證完成。

接下來(lái)申請(qǐng)域名SSL證書(shū)。點(diǎn)擊Certificates Wizard ，選擇下拉菜單中的Web Server

然后進(jìn)入下一步他會(huì)問(wèn)你驗(yàn)證方式神馬的，我們都已經(jīng)在VPS上設(shè)置過(guò)了，所以這里直接跳過(guò)。

然后在下面的網(wǎng)頁(yè)中輸入剛才server.csr中拷貝出來(lái)的一串字符。

然后提示你證書(shū)信息收集好了，點(diǎn)擊繼續(xù)。


系統(tǒng)提示你必須要選擇一個(gè)二級(jí)域名來(lái)進(jìn)行，大家如果申請(qǐng)根域名就輸入www好了。


提示成功，返回一個(gè)讓你等待的網(wǎng)頁(yè)。接下來(lái)就是等待官方進(jìn)行審核驗(yàn)證，驗(yàn)證后會(huì)發(fā)送成功或失敗的郵件到你的填寫(xiě)的郵箱中。

打開(kāi)StartSSL控制面板，選擇導(dǎo)出證書(shū)。

將代碼拷貝出來(lái)。保存成.crt格式。

# HTTPS server
#
server {
    listen       443 ssl;
    server_name  pass.test.com;
    ssl_certificate      /etc/nginx/ssl/nginx.crt;
    ssl_certificate_key  /etc/nginx/ssl/server.key;

    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout  5m;

    ssl_ciphers  "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !EXPORT !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";
    ssl_prefer_server_ciphers   on;
        
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    location / {
        root   /mnt/web/ssl;
        index  index.html index.htm;
    }
}                

重啟nginx

service nginx restart

訪問(wèn)域名顯示工作正常。

參考：
How to Install Nginx and a StartSSL Certificate on Debian 7 (Wheezy)
https://www.linode.com/docs/websites/nginx/how-to-install-nginx-and-a-startssl-certificate-on-debian-7-wheezy
Nginx上配置Startssl 免費(fèi)SSL
http://blog.nicky1605.com/the-free-ssl-configuration-startssl-on-nginx.html