HTTPS从购买到激活配置

1，购买网站https://www.ssls.com/，按需购买，多域名*.yourhost.com这样的也不到100美元一年，不算贵。这一步基本没有什么坑，主要是墙得厉害的时候，可能访问不到，建议用tor浏览器翻墙购买。页面点击无反应的时候，看看是不是有脚本被浏览器禁止了执行。另外需要准备一张信用卡，银联的就好。

2，支付完成后，就可以激活了。找到支付完成的订单，首先需要填入CSR，需要运行以下2条命令：

openssl genrsa -out prvtkey.pem 2048
openssl req -new -key prvtkey.pem -out cert.csr

输入第2条命令后，将有国家、公司名等信息需要填入，留意的是填入域名时，根据购买的证书类型填写，比如，通配的域名是：*.yourhost.com。

这2条命令执行完之后，查看CSR

cat cert.csr

复制整个内容，一定是从

-----BEGIN CERTIFICATE REQUEST-----

开始，到

-----END CERTIFICATE REQUEST-----

结束，前后记得不要有多余的换行等字符

通过CSR验证后，要验证你的服务器和申请证书的域名*.yourhost.com确实是你所有，有两种方法，一种是下载认证文件部署到你的服务器指定目录，这种方法比较复杂，不好操作，推荐用第二种，根据列出的一批指定的邮箱，比如admin@yourhost.com，选择一个，将认证邮件会发送至该邮箱。登录邮箱复制验证码，点击跳转到激活网页，填入验证码，即可完成认证。

 认证完成后，还需要填入一个全职员工的信息，方便联系。

3，配置证书到服务器。下载安全这书crt，加上刚才生成的秘钥pem，千万别弄错了。这里以Nginx为例：

在http下：
server {
        listen       80;
        server_name  子域名;
        rewrite ^(.*)$ https://$host$1 permanent;
        location ^~/AppFile/
        {
            alias /data/;
            expires      30d;
        }
        
        location / {
           proxy_pass http://IP:端口;
           proxy_redirect off;
           proxy_set_header HOST $host;
           proxy_set_header X-Real-IP $remote_addr;
           proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
           client_max_body_size 10m;
           client_body_buffer_size 128k;
           proxy_connect_timeout 90;
           proxy_send_timeout 90;
           proxy_read_timeout 90;
           proxy_buffer_size 4k;
           proxy_buffers 4 32k;
           proxy_busy_buffers_size 64k;
           proxy_temp_file_write_size 64k;
        }       
   }

   server {
        listen       443 ssl;
        server_name  子域名;
        ssl on;
        ssl_certificate      /usr/local/nginx/conf/star.yourhost.com.crt;
        ssl_certificate_key  /usr/local/nginx/conf/prvtkey.pem;
        location ^~/AppFile/
        {
            alias /data/;
            expires      30d;
        }
        
        location / {
           proxy_pass http://IP:端口;
           proxy_redirect off;
           proxy_set_header HOST $host;
           proxy_set_header X-Real-IP $remote_addr;
           proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
           client_max_body_size 10m;
           client_body_buffer_size 128k;
           proxy_connect_timeout 90;
           proxy_send_timeout 90;
           proxy_read_timeout 90;
           proxy_buffer_size 4k;
           proxy_buffers 4 32k;
           proxy_busy_buffers_size 64k;
           proxy_temp_file_write_size 64k;
        }       
   }

其中rewrite ^(.*)$ https://$host$1 permanent;这句配置是为了让http的访问链接自动跳转到https。

简单总监一下https从购买到激活最后配置的过程，其中最多坑的是购买支付后的激活过程，需要填入秘钥证书这些资料都要在服务器通过命令生成符合网站要求的格式，还有认证域名过程，避免认证文件放置不当，推荐邮箱激活省事省心。