HTTPS免費證書StartSSL申請全過程

起因：

最近一段時間微信小程序火爆，然而開發者都知道開發微信小程序有兩個必要條件：企業和https，好不容易微信小程序申請好了，現在需要使用https，前端數據才能變成動態的，於是乎找了專業平臺準備購買（https://www.shuzizhengshu.com/html/chanpin/SSLzhengshu/），可是價格不是一般的貴呀，小程序還沒開發好，就購買這麼貴的https，實在是不划算，忽然想起是否有免費的可以使用，看到知乎一位大俠分享了一篇startssl免費證書的申請，挺詳細的，於是自己體驗了一番。

上線：

產品發佈的時候，咋們還是要購買專業大平臺的證書，比如權威的SSL數字證書網，還有個品牌價格便宜《超真》

申請步驟：

1、註冊、登錄

進入註冊https://www.startssl.com/SignUp

填寫郵箱，點擊Send，會收到一封驗證碼郵件，將驗證碼填入即可

按照提示重新登錄，該網站提供了兩種登錄方式，客戶端證書認證和郵箱登錄（填寫郵箱，獲得驗證碼登錄），個人感覺使用郵箱也很方便，所以我選擇的是一次性登錄

2、申請驗證域名

點擊send會收到一封郵件，將驗證碼填入，便可登錄成功，看到如下界面：

點擊Validations Wizard，驗證域名

點擊繼續，並在域名所有者郵箱（或域名對應的企業郵箱）中獲取發送的驗證碼

將所有者郵箱收到的驗證碼填入，點擊Validate，域名驗證成功如下圖：

現在可以開始給自己的域名申請StartSSL免費SSL證書了，這裏添加用於申請證書的完整的域名。

CSR 生成可以有兩種方式，一種是使用StartSSL提供的[StartComTool.exe](https://download.startpki.com/startcom/startcomtool.exe)適用於Window，另一種方式也可以使用openssl命令,適用於Mac,liunx等。

openssl req -newkey rsa:2048 -keyout yourname.key -out yourname.csr

會在執行命令的目錄下生成一個.csr的文件，把生成的(youname.csr)CSR簽名證書請求內容，粘貼進去

點擊submit提交，證書申請成功。

3、下載免費SSL證書

可點擊here下載，也可進入List列表下載，下載之後是一個zip包，裏面有四個文件

本人服務器環境使用的nginx，所以上傳NginxServer.zip到服務器，解壓該文件，裏面是一個1_域名_bundle.crt的文件

4、nginx SSL配置

複製原本server 80端口，修改四行

server {
listen 443 ssl;
server_name 此處填寫你的域名;
ssl_certificate 此處填寫1_yourdomain_bundle.pem文件路徑;   
    ssl_certificate_key 此處填寫之前執行openssl命令生成的yourdomain.key;
}

xxx.pem就是從StartSSL下載下來的NginxServer.zip中的文件xxx_bundle.crt（需要把後綴改成pem）

xxx.key 這是之前執行 openssl req -newkey rsa:2048 -keyout yourname.key -out yourname.csr時生成的key.

5、重啓Nginx

重啓過程中有報錯

SSL_CTX_use_PrivateKey_file("/usr/local/certificate/wx.caeac.com.key") failed (SSL: error:0906406D:PEM routines:PEM_def_callback:problems getting password error:0907B068:PEM routines:PEM_READ_BIO_PRIVATEKEY:bad password read error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib)

參考http://blog.csdn.net/gnufre/article/details/46925329順利解決

到這來，就可以使用https了，馬上打開你的域名試試吧。

其實在網上也能找到很多StartSSL的申請流程。可大多都是之前的，界面與操作方式都有所改變。這篇提供了最新的StartSSL申請流程，以幫助大家更快的進行SSL認證。

6、檢測

檢測網址：https://www.myssl.cn/tools/check-server-cert.html

檢測結果：正常

7、遇到問題

第一次申請一個域名的時候，nginx重啓報錯後重新生成了key，導致第一次申請的域名不可使用，於是乎發郵件請求start.com官方幫忙刪除，收到回覆是不可刪除，刪除需要收取費用。郵件內容大致如下：

This electronic mail message was created by StartCom's Administration Personnel:

The certificate is issued. You may just leave it there. Revoked might cost you money.

後來只能換另外一個域名重新申請了，幸好是免費的。

填寫到微信小程序發起請求地址，發現不可使用，參考文章http://www.jb51.net/article/98050.htm解決