#签发证书后需要检查证书链是否完整
证书链组成:签发证书(服务商签发的证书)–>中级证书(服务商提供)–>顶级证书(服务器提供)
注意:starssl签发的证书暂时需要把顶级根也加入到证书里,不然有的浏览器会报错
证书链检测地址:
https://myssl.com/
https://www.ssllabs.com/ssltest/index.html
#如果报出证书链不完整需要修改证书,修改证书方法如下
nginx
需要把服务器签发的证书、中级证书、顶级证书添加到一起,顺序为2所示
apache
需要把交叉证书的中级证书和顶级证书添加到一起,中级证书在前顶级在后,文件名称为root.crt
## 服务器配置
nginx
#ssl on; #注意这里不能加这一句否则会报服务器400错误
ssl_certificate /etc/nginx/ssl/linlaoban.com.crt;
ssl_certificate_key /etc/nginx/ssl/linlaoban.com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers “EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH”;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
===============
apache
SSLCertificateFile /etc/httpd/ssl/linlaoban/www.linlaoban.com.crt #服务商证书
SSLCertificateKeyFile /etc/httpd/ssl/linlaoban/linlaoban.com.key #秘钥
SSLCertificateChainFile /etc/httpd/ssl/linlaoban/root.crt #交叉证书
===============
# 紧急临时证书
当有些时候证书突然失效的时候紧急的临时解决方案是申请免费证书
## 阿里云的免费证书
阿里云的证书有一种免费DV证书,有效期为一年,每个账号可以申请20个证书,不能添加泛域名证书,不能申请类似银行的域名如bank,pay,laoban等
## letsencrypt证书
这是一种免费的有效期为90天的证书,一周最多申请20个域名,申请时需要将域名解析到letsencrypt这台服务器上,建议解析的时候改成海外解析,这样不会影响到线上业务。
地址为https://certbot.eff.org/#centos6-nginx