,

How to setup free SSL on apache and tomcat?

Introduction

之前曾寫過一篇這樣的教學,但最近憑證過期要重新申請時,發現StartSSL已經改版了,因此我希望能分享給大家我遇到的問題與解決方法。

Domain Validation

在拿到Web Server SSL/TLS Certificate前,必須先做Domain Valiation。可以點擊Validations Wizard並選擇Domain Validation開始驗證之路。然而我遇到的問題是: StartSSL根據我domain所解析出來的信箱,沒半個是我的!! 所以我的處置是:

  1. 根據whois服務所抓到的信箱,抓一張圖一下。
  2. 點擊StartSSL驗證畫面右上的report bug,直接告訴它: 沒出現正確的信箱! 請幫忙!

不到兩天就收到了處理結果:


再次進行驗證,我的信箱出現了:

選擇自己信箱,送出驗證碼並做完驗證後,這項目就算完成了。

Web Server SSL/TLS Certificate

點擊Certificates Wizard,接著選擇Web Server SSL/TLS Certificate並送出(2017年時改為DV SSL Certificate)。接著上方就是填入你的hostname,下方就是放csr。csr的部分,我是沒試驗成功,所以我直接用Generated by PKI system。Generated by PKI system在你submit之後,就會產生key讓你下載(ssl.key),下載並送出後就算是申請成功了。接著到Tool Box > Certificate List中,可以看到Certificate列表,點擊Retrieve後會載下一包zip:


解開後,我用到的是apache的2_domainname.crt:

Root and Intermediate CA Certificate

接著我們會需要Root與Intermediate CA Certificate。這是用來告訴瀏覽器憑證的驗證機構。如果沒做這個步驟,firefox會跳出警告訊息。

  1. 連至https://startssl.com/root
  2. 下載Root CA Certificates: 點擊Root 1 - StartCom Certification Authority中的ca.crt(pem)。(檔名為ca.crt)
  3. 下載Intermediate CA Certificates: 點擊Class 1 DV SSL certificate中的StartCom Class 1 DV Server CA(pem)(SHA-2)。(檔名為sca.server1.crt)
  4. 將這兩個檔案內容合併到2_domainname.crt中。

Config Apache

在你的apache config中,加入或修改如下: 

SSLCertificateFile /opt/startssl/2_domainname.crt
SSLCertificateKeyFile /opt/startssl/ssl.key
SSLCertificateChainFile /opt/startssl/sca.server1.crt
SSLCACertificateFile /opt/startssl/ca.crt
檔名可參考前面內容。而解決apache啟動要輸入密碼的問題,可以在apache config內加入: 
SSLPassPhraseDialog  exec:/etc/httpd/conf/httpd_passphrase
而httpd_passphrase是一個會將密碼給印出來的script,我的密碼就是存在httpd_passphrase.txt中: 
#!/bin/sh
cat "/etc/httpd/conf/httpd_passphrase.txt"

Config Tomcat

Tomcat需要PFX檔案,而PFX是透過key+crt產生的。首先到Tool Box > Certificate List中,去點擊Create PFX:


出現以下畫面後,把該填的東西填一填,接著就可以下載PFX了:


最後就是設定tomcat的server.xml,keystoreFile就是你的PFX檔案路徑,keystorePass就是你的密碼: 

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
                       maxThreads="150" scheme="https" secure="true"
                                      clientAuth="false" sslProtocol="TLS" keystoreFile="/home/tony/workspace/apache-tomcat-7.0.39/conf/6b8ef724-d65a-40f1-b42d-768d301657e1.p12" keystorePass="1234567890" keystoreType="PKCS12"/>
最後重新啟動tomcat。

友藏內心獨白: 我這可是失敗好幾次阿!

後記

參考自link,在chrome 56之後,如果certificate是從StartCom 2016年10月21後申請的,就會被辨認為不安全了,主要原因可能來自此篇新聞。嗯..很好,另找solution了。