从startssl申请ssl的流程

1.官网：www.startssl.com，点击sign-up进行注册或者点击login进行登录

2.申请过程可以参考这个博客：https://www.williamyao.com/index.php/archives/1397/

3.其中csr的申请使用startcom tool工具生成，步骤如下：

（1）.下载StartComTool.exe

（2）.选择csr页面

（3）.Certificate Type :选择【SSL Certificate】

（4）.将模式(Mode)从原來的【Professional Mode】切换为【Lite Mode】。

具体项目如图：

4.生成的文件需上传到服务器，主要是两个文件，一个是crt证书文件，一个是key密钥文件，上传后放到这个目录（/etc/ssl/private）

4.Nginx的配置：/usr/local/nginx/conf/nginx.conf

server {

    listen       80;

    listen     443 ssl;

    ssl_certificate /etc/ssl/private/1_ahnianzhi.com_bundle.crt;

    ssl_certificate_key /etc/ssl/private/3.key;

.........................................

}

4.重启nginx，报错如下：

经调查是安装nginx的时候没有开启ssl模块，nginx缺少http_ssl_module模块，其实在编译安装的时候带上--with-http_ssl_module配置就行的，但是现在的情况是nginx已经安装，我们只需添加模块，而不是全部覆盖

解决办法：

（1）.切换进入nginx源码包：cd /usr/local/nginx-1.8.0

（2）.查看nginx原有的模块：/usr/local/nginx/sbin/nginx -V。在configure arguments:后面显示的原有的configure参数

（3）.新的配置信息这样写./configure --prefix=/usr/local/nginx --user=ww --group=www --with-http_stub_status_module --with-http_ssl_module

（4）.配置完成后，使用make编译，不要使用make install 否则会覆盖

当时不知道--user --group 的含义，导致后面重启又报错：

错误原因是没有创建www这个用户，需要在服务器中添加用户www并加入用户组www，所以也可以这样写：-user=nobody -group=nobody，因为nobody用户是系统存在的

注意一：上图中密码最好为空，当输入密码时，nginx每次重启的时候会要求输入这个密码，很麻烦。第一次使用不了解，输入了密码，解决办法如下：

http://blog.csdn.net/buster2014/article/details/50921390

注意二：在上图的Domain Name中一定要加上www即www.ahnianzhi.com，否则就会导致证书不正确，当访问https://www.ahnianzhi.com时显示：

访问https://annianzhi.com时显示：

待研究
另参考：https://www.williamyao.com/index.php/archives/1397/

解决密码问题：

1. openssl rsa -in server.key -out server.key.nopassword

2. 其中的server.key是生成的密钥，在我的服务器中换成3.key

3. Server.key.nopassword是运行命令后自动生成的，和3.key在同一个目录中

4. 修改nginx.conf中的ssl_certificate_key /etc/ssl/private/3.key;指向server.key.nopassword

支持Openssl的nginx配置：

1. server{

listen 443 ssl;

listen 80 ssl;

}

既支持http也支持https

2. listen 443 ssl;

    server_name  pass.test.com;

   只支持https

3. server

{

    listen 443 ssl;

    # 下面这一行用于启用 IPv6支持

    #listen [::]:443 ssl ipv6only=on;服务器不支持

    server_name www.williamyao.com;

    # SSL 支持配置如下

    ssl on;

    ssl_certificate /etc/ssl/private/www.williamyao.com.crt;

    ssl_certificate_key /etc/ssl/private/www.williamyao.com.key;

    ...（其他配置）...

}

server

{

    listen 80;

    #listen [::]:80 ipv6only=on;不支持

    server_name www.williamyao.com;

    return 301 https://www.williamyao.com$request_uri;

}

两个server用于重定向，当访问http(80)时直接转到https（443）

这是在阿里云的服务器上的一个配置文件nginx.conf：

链接：http://pan.baidu.com/s/1nvLYGLb密码：8uh1