StartSSL 免費證書申請步驟以及Tomcat和Apache下的安裝

startssl 免費證書申請步驟

1、用戶端認證申請

startssl使用者認證使用的是https用戶端證書認證而非使用者名/密碼認證。是以第一步是申請startssl用戶端證書。

（整個申請過程可參考連結：http://jeeker.net/article/apply-ssl-certificat-for-domain-from-startssl/）

1）  填寫申請單，首頁-sign up free 。注意郵箱必須真實，電話，位址等看上去像私人的而非公司的，必須使用英文填寫。

2）  到郵箱接收郵件，填寫認證碼。

3）  等待稽核，一般6小時内會稽核完畢。到郵箱接收郵件，收到郵件後要在24小時内申請用戶端證書。

4）  申請用戶端證書。申請成功後，注意備份證書，在ie 選項—内容—證書—個人—導出視窗中。

在申請時需要注意的幾個問題：

1）  startssl針對的是私人注冊，而非組織認證，是以填寫的位址資訊，電話資訊等應該是個人的。假的也要看起來像。

2）  startssl填寫的都是英文資訊，不要使用中文填寫。

3）  收到郵件後，寫入驗證碼，下一步，要注意時間限制，startssl用6個小時來完成申請稽核。然後發送稽核郵件到你的郵箱。此時，給你的申請用戶端證書驗證碼隻有24小時的時間有效性。也就是要在24小時内完成用戶端申請。

2、域名認證申請。

1）進入control panel（可能需要點選authenticate并使用上一步生成的證書才能看到圖示的頁面），選擇validations wizard，類型選擇domain name validation。

2）輸入域名。

3）選擇一個有效的郵箱接收驗證碼，可以使用域名whois中的郵箱或預設網站管理者郵箱（沒有帶域名的郵箱可選擇使用網易免費企業郵等服務）。

4）收到郵件後，輸入郵件中的驗證碼。

5）域名所有者驗證成功。

1）  域名是主域名。

2）  郵箱必須可用，并且應該随時接收。

3、ssl證書申請

1.選擇certificates wizard進入ssl證書生成向導，證書目标選擇web server ssl/tls certificate

2.輸入10-32位密碼生成秘鑰。必須記住密碼，不要忘記。

3.備份秘鑰，将文本框内的内容儲存成一個文本檔案，如ssl.key。使用ansi方式儲存。

4.選擇上一步驗證了的域名。

5.添加子域名。

6.确認域名子域名資訊，準備生成證書。

7.備份生成的證書，将文本框内容儲存成一個文本檔案，如ssl.crt。使用ansi方式儲存。在下面intermediate連結中下載下傳中間證書sub.class1.server.ca.pem。 root證書ca.pem也要下載下傳。

申請完成，下面是安裝步驟。

第四步為apache的安裝，必須解密私鑰。

5、tomcat下的安裝。

将startssl生成的證書應用到tomcat下很複雜，參考這篇文章（https://adaptivekanban.com/blog/2012/07/how-to-use-startssl-certificates-with-apache-tomcat/），或者我下面的說明都可以。

1）解密秘鑰

在使用證書證書之前還需要對生成的秘鑰解密，可使用指令openssl rsa -in ssl.key -out ssl_decrypted.key，或者是startssl提供的工具: tool box - decrypt private key，生成的内容另存為檔案，如ssl_decrypted.key。

2）建立pkcs12檔案。

使用startssl的toolbox --create pkcs#12 (pfx) file .

其中private key:為解密的密鑰檔案。擷取的檔案名存為out.p12 .

3）利用pkcs檔案生成keystore檔案

利用java利用的keytool工具，在java安裝目錄中的bin目錄下。

keytool.exe -importkeystore -deststorepass  changeit -destkeystore mykeystore.jks -srckeystore out.p12 -srcstoretype pkcs12 -srcstorepass changeit

4）導入startssl的ca證書以及1級中級伺服器ca

startssl的ca證書在第三步的第7小步中已經下載下傳。或者到startssl的toolbox-- startcom ca certificates-- starcom root ca (pem encoded) 下載下傳這個證書。

1級中級伺服器在第三步的第7小步中已經下載下傳。或者到startssl的toolbox-- startcom ca certificates-- class 1 intermediate server ca 下載下傳這個證書

keytool.exe -import -alias startsslca -file ca.pem -keystore mykeystore.jks ；

keytool.exe -import -alias startsslca2 -file sub.class1.server.ca.pem -keystore mykeystore.jks ；

5）配置tomcat

修改tomcat目錄下confg目錄中的server.xml檔案。放開一下内容

<connector port="8443" protocol="http/1.1" sslenabled="true"

               maxthreads="150" scheme="https" secure="true"

               clientauth="false" sslprotocol="tls"

               keystorefile="d:\\apache-tomcat-7.0.16-account\\mykeystore.jks" keystorepass="changeit "/>

這樣啟動是一般會報apr錯誤。

一般的處理方法是修改server.xml檔案，屏蔽掉

<!--<listener classname="org.apache.catalina.core.aprlifecyclelistener" sslengine="on" />-->    

想要更多解決方法的可以參考這篇文章（http://lixor.iteye.com/blog/1532655）

正常就可以啟動ssl了。

6、apache下的安裝

參考這篇文章（http://blog.mowd.tw/index.php?pl=950）

如果使用的是加密的ssl.key 則每次啟動apache時都要輸入密碼。（未測試）

在httpd.conf 中增加一下内容：注意ssl.key 是解密的。

 sslcertificatefile /etc/pki/tls/certs/ssl.crt

sslcertificatekeyfile /etc/pki/tls/private/ssl.key

sslcertificatechainfile /etc/pki/tls/sub.class1.server.ca.pem

sslcacertificatefile /etc/pki/tls/ca.pem

轉載自：http://fengfan.blog.163.com/blog/static/13478622013713114942896/