1、访问keymanager.org/下载KeyManager并安装,然后启动KeyManager,首次使用会要求输入密码、确认密码和密码提示。需要记住密码,后续使用KeyManager会让输入主密码即是这里输入的密码。
2、访问freessl.cn/ ,填写申请证书的域名,然后点击创建免费的SSL证书(如果没有账号可以先创建)
页面会弹出一个提示框(注意:请提前打开KeyManager工具)
此时会跳转到KeyManager界面,输入KeyManager的主密码,然后KeyManager会提示“CSR生成成功,请返回浏览器继续操作”
回到freessl.cn 页面,点击继续
点击继续按钮,页面显示DNS验证的内容
按提示,把txt记录和记录值添加到域名商的解析处,我的是阿里云
这时需要添加域名解析,记录类型为TXT,主机记录为上面显示的内容如_dnsauth.user,记录值为上面显示的内容,按实际内容填写。等待域名解析成功后点击上面的“点击验证”按钮。(如果验证失败了不用继续点击,需要十分钟后再点击验证)。验证通过后会显示证书信息
点击导出证书可下载证书,然后上传到服务器,再配置nginx后重启即可。
补充,如果部署完成后无法访问,可检查443端口是否开放(本机和阿里云都要开放),或者443端口是否被防火墙拦截,如果被拦截可执行以下命令
iptables -I INPUT -p tcp --dport 443 -j ACCEPT
配置完成后可以去测试一下网站是否缺少证书链。
检测网站 myssl.com/ 输入网站域名,点击回车即可,如果显示以下截图,则需要修复证书链(不修复也可正常访问,只不过在特定的情况下会出现一些问题:例如小程序中wx.downloadFile()方法会提示证书检测失败)
修复方法:
在检测完成的页面下滑,找到图中位置,点击下载证书链
跳转到新的页面
把当前页面中的内容保存至生成的证书.crt文件中,将原有的.crt证书内容进行替换保存,即可,保存完成后重启服务器
之后再去检测一下域名,显示如下即表示证书链正常了。
