其實原本都是使用網路中文的服務購買SSL憑證,價格自己找查吧。
但因為接觸WordPess後又認識一個網域主機商Gandi.net。
主要服務有DNS、SSL憑證和雲主機服務,不過主機好像在德國….在離台灣有點遠。
這次主要是紀錄一下Gandi SSL憑證如何到在公司Nginx的服務上如何設定。
這次購買的是標準單一網域的SSL憑證。
前面申請和公司資料輸入我就不在記錄了,把重點整理記錄起來。
一、在NIGNX主機上產生CSR和KEY,然後上傳到Gandi.net上。
怎麼產生?? 看下面
$ openssl req -nodes -newkey rsa:2048 -keyout domain.tld.key \
-out domain.tld.csr
還看不懂嗎?
如果是我的網站要申請就變成以下的方式
$ openssl req -new -newkey rsa:2048 -sha256 -nodes -out 'www.bruce-blog.tw.csr' -keyout 'www.bruce-blog.tw.key' -subj '/CN=www.bruce-blog.tw'然後把產生出來的CSR和KEY放到nginx你自己指定的路徑目錄下,之後要設定對應時會用。
在來就是會需要Gandi SSL驗證,有三種模式 官網說明
1、在所屬的DNS 網域上設定一組CNAME 進行驗證 (我選這個方式)
PS:設定上去後大約要等一個鐘頭左右才過關)
大蓋是下面這樣 ,不過TTL Gandi上面是要求設定10800秒(3H)Cloudflare上面沒有三小時拉…我設Auto。
2、透過電子郵件進行驗證,但必須要申請一個admin@開頭的信箱
例如:我沒有admin@bruce-blog.tw這個信箱…就必須要申請一個
(這個很OOXX…..我必須說網路中文也是同樣狀況…)
不過如果你有admin@開的信箱恭喜,不用在多此一舉了。
收到mail後點選驗證的連結應該就成功了(官方說這是最快的驗證方式)。
3、透過檔案上傳驗證
後台會出現一組驗證碼的文字檔(TXT),必須要網站的特定目錄下將這個TXT檔上傳到該目錄位置才能驗證。 (.well-known/pki-validation/filename.txt)
例如:https://www.bruce-blog.tw /.well-known/pki-validation/filename.txt
filename.txt 請改成Gandi指定的名稱喔,不然會失敗。
上傳成功後大約也要等一個小時才會生效。
但我也不是用這個方式驗證。
因為我是使用CloudFlare在管理DNS,所以設定CNAME很方便。Cloudflare真棒
在來驗證通過後Gandi的後台就可以看到已畫面
兩個下載給他按下去,會收到中繼憑證和CRT憑證。然後將這個兩個憑證合再一起。(先放到Nginx SSL 的目錄中)
PS:下面指令後你可以在開啟crt檔看看會發現不一樣了。
$ cat GandiStandardSSLCA.pem >> www.bruce-blog.tw.crt最後修改nginx web server的設定檔,已下我用簡化一下資訊,用乾淨一點的狀態 (如果自己的nginx設定路徑不相同不要照抄喔)
server {
listen 443;
server_name "www.bruce-blog.tw";
root /var/www/www.bruce-blog.tw;
ssl on;
ssl_certificate /etc/nginx/certificates/www.bruce-blog.tw.crt;
ssl_certificate_key /etc/nginx/certificates/www.bruce-blog.tw.key;
}然後在nginx -t 測試一下設定檔是否有異常。
OK沒問題就重新載入nginx設定。
- sudo nginx -t
- sudo systemctl reload nginx.service
最後瀏覽器檢查網站上的SSL憑證是否已經更新成功。
使用心得:
因為是第一次操作所以花了一點時間摸索。
再加上Gandi是沒有電話客服,只能從後台上的聯絡客服後台發問。
但會有中文的回信,只是問題回覆上沒有那麼快速。
基本上適合比較有經驗的人使用,初學者不懂DNS、不懂CNAME不會上傳檔案驗證…建議不要自討麻煩。
如果有需要可以電話服務的人,改用別的服務商會比較快(網路中文)。
但標準單一網域SSL憑證兩年才賣724$,沒啥好嫌的。
我給售價5顆星。後台介面也算很清楚4顆星。
補充一下:我有詢問一下統一發票的問題,Gandi是和綠界合作。
發票會在一周後發信到mail中,所以要更公司會計說等一下><。我要請款