官方的help文档:
往年申请免费的阿里云可以在云控制平台--》我的所有证书里面直接续费就可以,现在续费入口没有了,需要重新购买免费的证书。
具体步骤如下:
1.在云盾证书服务申请免费ssl:
2.在云盾控制平台就能看到刚购买的证书了,这一步“证书申请”
填写个人信息,包括 申请人,电话号码,邮箱和域名
域名的验证方式,由于我没有权限登入域名管理服务,只能登入主机,所以选择txt方式验证。
CRS生成方式选择自动生成。
3.文件验证的方法:
将文件内容下载,比如是domain_check_4721377.zip,里面包含一个fileauth.txt。
在服务器tomcat的根目标下建立.well-known/pki-validation目录,然后将些zip文件复制到此目录,并解压缩。
我的本地环境是tomcat+apach服务,所以需要在所有的tomcat目录下做同样的操作,以保证能一次验证通过。
比如我需要将北文件复制到所有的qht250X下面,/home/qht250X/apache-tomcat-5.5.26/webapps/.well-known/pki-validation
之后可以通过域名访问这个文件,如果能读到fileauth.txt内容,则再点击页面的“验证”。 第一次不通过的话刷新一下页页重新验证,一般都能过。
补充:我第二年再申请的时候这一步出现了问题,“验证”怎么也验证不了,明明文件 已放置正确了。分析原因应该是能过https访问服务器时由于不安全的原因访问不了。
最后只能临时开启80端口,待验证能过后将80再关闭。
1.复制当前的server.xml
cp /home/qht2501/apache-tomcat-5.5.26/conf/server.xml /home/qht2501/apache-tomcat-5.5.26/conf/server.xml.bak
2.编辑qht2501的server.xml
vi /home/qht2501/apache-tomcat-5.5.26/conf/server.xml
将
<Connector port="2501" address="172.17.51.40"
enableLookups="false" redirectPort="8443" protocol="AJP/1.3" />
改成
<Connector port="80" address="172.17.51.40"
enableLookups="false" redirectPort="8443" />
将2501改成80端口,将protocol="AJP/1.3"先删除,否则连接80会报错。
2.重启tomcat
3.查看80端口是否已开启了
4.再次验证就没有问题了。
5.域名验证成功,域名验证记录在证书签发后再删除,否则会因没有解析记录导致证书签发失败。
6.最后记得恢复2501端口4.下载并布置证书
待证书签发后就可以下载证书了。
点击“下载”,我选择apache证书,下载的文档包括public.crt证书文件,chain.crt证书链文件和key密钥文件三个文件。
将些文件放置在服务器的apach的安装目录的cert目录下,我的环境是/usr/local/apache2/cert
根据文档,需要修改Apache/conf/httpd.conf文件的下面两行的#删除,以启用mod_ssl服务。
不过我的环境的情况是,一启用就出现如下错误,显示ssl_module is built-in and can't be loaded,就是说ssl_module已内置了,不需要另外开启,那这一步就忽略。
接着修改httpd-ssl.conf配置文件,将三个文件换成刚下载下来的。
5.重启一个apache就可以了。
apachectl -k stop
apachectl -k start6.最后,我用chrom和firefox打开见面还是not secure,但是用ie打开就是正常的。
在点击感叹号后是能看到最新的证书的,说明证书是安装成功的。
初步分析应该是这台机器的apach版本太老了,TLS的版本需要更新到1.2以后。
Deprecate TLS 1.0 and 1.1, targeting removal in Chrome 81 (early 2020). During the deprecation period, sites using those protocols will show a warning in DevTools. After the deprecation period, in 2020, they will fail to connect if they have not upgraded to TLS 1.2 by then.
后续准备怎么升级一下!
后续:
由于2023年底发现阿里的免费SSL证书只能用3个月了,所以换成腾讯的证书。
申请过程是一样的,将证书下载后只需要对应替换证书文件就可以了,注意三个文件不要替换错了。
SSL 证书 Apache 服务器 SSL 证书安装部署(Linux)-证书安装-文档中心-腾讯云
