StartSSL(网址:http://www.startssl.com,公司名:StartCom)也是一家CA机构,它的根证书很久之前就被一些具有开源背景的浏览器支持(Firefox浏览器、谷歌Chrome浏览器、苹果Safari浏览器等)。
现在,微软在升级补丁中,更新了通过Windows根证书认证程序(Windows Root Certificate Program)的厂商清单,并首次将StartCom公司列入了该认证清单,这是微软首次将提供免费数字验证技术的厂商加入根证书认证列表中。
在Windows 7或安装了升级补丁的Windows Vista或Windows XP操作系统中,系统会完全信任由StartCom这类免费数字认证机构认证的数字证书,从而使StartSSL也得到了IE浏览器的支持。
注册成为StartSSL(http://www.startssl.com)用户,并通过邮件验证后,就可以申请免费的可信任的SSL证书了。
步骤比较复杂,申请向导的主要步骤如下(假设为域名www.test.com申请证书):
1. 访问http://www.startssl.com 申请免费的SSL证书
2.下载www.test.com.zip文件,解压文件,得到2个文件:1_www.test.com_bundle.crt 2_www.test.com.key,将其改名为 www.test.com.crt,www.test.com.key 传到nginx服务器
3. 修改nginx配置
4. 重启nginx systemctl restart nginx
我们做数据接口签名认证的时候,会从授权方得到一个证书文件,有时候是pfx类型的,那么需要将pfx为nginx需要的crt,key文件。
pfx证书的密码,一般是授权方提供。
# openssl pkcs12 -in www.test.com.pfx -nocerts -nodes -out www.test.com.key
Enter Import Password: 此处输入证书密码
MAC verified OK
# openssl pkcs12 -in www.test.com.pfx -clcerts -nokeys -out www.test.com.crt
Enter Import Password: 此处输入证书密码
MAC verified OK
客户端如果想要跟有 www.test.com.key 和 www.test.com.crt 的 服务端通过https通信,那么需要将签发 www.test.com.crt 机构的证书(ca.crt)导入到客户端:
客户端为Windows,需要导入客户端器浏览器
客户端为Linux,需要导入Linux操作系统证书相关目录,如CentOS7.x
# cp ca.crt /etc/pki/ca-trust/source/anchors/
# update-ca-trust
参考
openssl相关指令及生成私有证书
https://blog.csdn.net/u014753393/article/details/50935398
使用 openssl 生成证书
