之前曾寫過一篇這樣的教學,但最近憑證過期要重新申請時,發現StartSSL已經改版了,因此我希望能分享給大家我遇到的問題與解決方法。
在拿到Web Server SSL/TLS Certificate前,必須先做Domain Valiation。可以點擊Validations Wizard並選擇Domain Validation開始驗證之路。然而我遇到的問題是: StartSSL根據我domain所解析出來的信箱,沒半個是我的!! 所以我的處置是:
點擊Certificates Wizard,接著選擇Web Server SSL/TLS Certificate並送出(2017年時改為DV SSL Certificate)。接著上方就是填入你的hostname,下方就是放csr。csr的部分,我是沒試驗成功,所以我直接用Generated by PKI system。Generated by PKI system在你submit之後,就會產生key讓你下載(ssl.key),下載並送出後就算是申請成功了。接著到Tool Box > Certificate List中,可以看到Certificate列表,點擊Retrieve後會載下一包zip:
解開後,我用到的是apache的2_domainname.crt:
接著我們會需要Root與Intermediate CA Certificate。這是用來告訴瀏覽器憑證的驗證機構。如果沒做這個步驟,firefox會跳出警告訊息。
在你的apache config中,加入或修改如下:
SSLCertificateFile /opt/startssl/2_domainname.crt SSLCertificateKeyFile /opt/startssl/ssl.key SSLCertificateChainFile /opt/startssl/sca.server1.crt SSLCACertificateFile /opt/startssl/ca.crt檔名可參考前面內容。而解決apache啟動要輸入密碼的問題,可以在apache config內加入:
SSLPassPhraseDialog exec:/etc/httpd/conf/httpd_passphrase而httpd_passphrase是一個會將密碼給印出來的script,我的密碼就是存在httpd_passphrase.txt中:
#!/bin/sh cat "/etc/httpd/conf/httpd_passphrase.txt"
Tomcat需要PFX檔案,而PFX是透過key+crt產生的。首先到Tool Box > Certificate List中,去點擊Create PFX:
出現以下畫面後,把該填的東西填一填,接著就可以下載PFX了:
最後就是設定tomcat的server.xml,keystoreFile就是你的PFX檔案路徑,keystorePass就是你的密碼:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="/home/tony/workspace/apache-tomcat-7.0.39/conf/6b8ef724-d65a-40f1-b42d-768d301657e1.p12" keystorePass="1234567890" keystoreType="PKCS12"/>最後重新啟動tomcat。
參考自link,在chrome 56之後,如果certificate是從StartCom 2016年10月21後申請的,就會被辨認為不安全了,主要原因可能來自此篇新聞。嗯..很好,另找solution了。