256元搞定兩年份 TLS/SSL 憑證

這年頭架網站不簡單,除了專屬網址外,還得要支援 https 加密傳送,好確保傳輸的個人資料、信用卡號、隱私資訊…… 能受到加密的安全保障而不外流,而且在趨勢上,隨著HTTP/2.0 的到來,https 似乎是不得不的選擇了。

試想一個網站如果被瀏覽器標示為「不安全」、「你與這個網站的連線不安全  請勿在這個網站上輸入任何機密資訊(例如密碼和信用卡號碼)……」,想加入會員、線上購物都會有點怯步吧?


被標示為不安全的網頁

看各大銀行與購物網站,在網址前都會有個綠色上鎖的符號,並標示了「已建立安全連線  你傳送給這個網站的資訊(例如密碼和信用卡號)不會外洩」是不是看了會很安心?


有上鎖圖示的網頁

要替網頁加上 https,最重要的就是 SSL 憑證了。以前 SSL 憑證很貴,一年份要萬把塊,近來是便宜些了,但對於自架網頁的部落客來說,還是筆天價。


SSL 憑證參考報價

所幸目前坊間有幾個著名的免費 SSL 憑證網站,例如 Let’s Encrypt 可以提供免費的解決方案,對於自有主機的人來說是個好消息;然而對於租用共享式虛擬主機的人來說,會有一點點小麻煩:憑證是要安裝在伺服器上的 www 程式上,共享式虛擬主機廠商通常不允許自行修改設定檔,只能付費跟廠商買憑證或付費請廠商安裝憑證設定。偏偏這類免費憑證網站只提供短期證書(90天),時間到要去更新憑證。自有主機可以透過 script、crontab 去自動更新,但共享式虛擬主機服務變成一年要付四次費用請廠商設定,反而比直接跟虛擬主機廠商買還貴了。

所以對於租用共享式虛擬伺服器的人來說,重點是一次提供較長有效時間且便宜的憑證。

這次找到一個兩年 TLS/SSL 憑證只要 8.6 美金(大約256台幣),申請程序也不難,只要準備好:

  1. 一個有效網址
  2. 一個網址管理員的 email(通常是 admin@xxx.xxx)收啟用認證信
  3. 可線上刷的信用卡一張或 Paypal 帳號

首先到 GoGetSSL 網頁,這是家賣 TLS/SSL 憑證的廠商,選取「SSL Certificates」→「Domain Validation」後可以看到許多不同簽證商的憑證報價。


各簽證商的價格

扣掉免費的 0 元短期試用不算, 有沒看到 $4.30 元的「GGSSL Domain SSL Cerficate」呀?把 Details 按下去看細節就是了。

看,兩年份只要 $8.6 美金,一年 $4.3 美金,還等什麼呢?馬上按「Create New Order」建立新訂單吧!

確定一下要買的內容,Select product type 是「SSL Certificates」,Select Item 是「GGSSL Domain SSL」,直接 Next Step 吧!

決定了產品,那就付錢吧!不免的,第一次使用需要先加入會員,登入後才能繼續結帳。

信用卡和 PayPal 都能使用,其他付款方式就不研究了,總之,在填完付款資訊後就完成了…… 咦?是完成了購買憑證啦!接著要管理憑證內容的細節。

付完錢了

付完錢點選左邊 SSL Certificates 可以看到有一項三角形驚嘆號標著 Incomplete 未完成的憑證,點選「Generate」來產生新的憑證。

先確認這是第一次簽證而非續約,Order Type 選的是「New Order」,Web Server type 則因使用的 www 軟體而異,只有 Microsoft IIS 要選 IIS,其他都選「Other/All」就是。最後欄是憑證簽章要求的欄位,這是我們要送一個憑證簽章要求(Certificate Signing Request, CSR)給簽證商,裡頭包含了我們的網址資訊等等細節,在 Linux/Unix 上可以用 OpenSSL 程式產生,在這邊 GGSSL 提供了個簡單的 web 界面來產生,就按下「Online CSR Generator」的連結吧。

Online CSR Generate 所填的是要記載到憑證中的資訊,最重要的是 Common Name 中的網址絕不能錯,就是即將加密的網址,最後面 Country 中的 Taiwan, Province of China,請自動無視「Province of China」吧,憑證中最後寫進去的國碼還是 TW 而非 CN 的!填完就按下「Generate CSR」按鈕。

按下按鈕後會產生兩段加密文字:前面一段是要複製到前面空白欄位的 CSR 文字,後面一段是網站的加密密鑰,加密密鑰請勿洩露給其他人,不然有心人事可以拿這來偽裝成你的網站的。GGSSL 會把這兩段文字以 email 送到裡面填的 Email 信箱,不用擔心遺失。

回前一頁貼上選取的 CSR 文字,按下 Validate CSR 按鈕。

GGSSL 會驗證申請人是不是網址的所有人,所以以 Email 認證的話,會發現 Email @前面只能選什麼 admin、hostmaster、webmaster…… 之類的管理人員信箱,選好 email address 後就下一步吧。

接著填網站管理人員的聯絡資訊,填完就告一段落了。

終於完成了

接著去開信箱,除了會看到封內含 CSR 和 Private Key 的信件外,還會有封認證信件。

按下信件中的 here 連結,把最下面附的一段文字貼上完成身份認證。

回到 SSL Certificates 頁面,SSL 的狀態從 Incomplete 變成處理中 Processing 了,可以去煮個咖啡喝口茶等 GGSSL 處理了。

等 Status 變成 Issued,代表憑證簽發完成,可以按 View 來看熱呼呼的憑證囉!

憑證簽好後最主要的一份是網址簽證的憑證 CRT,另外還有一份會用到的是誰簽發的憑證 CA,最後加上使用 Online CSR Generate 時產生的 Private Key 檔案(找不到?已經有寄一份到信箱囉!貼心吧?),就可以拿來設定 www server 了。租用共享式虛擬主機服務的話就將這三個檔案提供給廠商就行。

萬一遇到廠商說他們是用兩個設定檔而非三個,那就下載這兩個檔案後建立一個新的文字檔,把 CRT 和 CA 的內容複製、貼上(CRT 在前,CA 在後),重新存成 xxxx.crt,連同 Private 的 xxxx.key 一起提供就行了。


檔案太長,就不顯示全部了

等伺服器設定完成,用 https 去連接網頁,就會看到網址頁出現綠色上鎖「已建立安全連線」圖示了。

按下憑證,可以看到這次申請的憑證細節唷!

本篇發表於 未分類, 雜七雜八類 並標籤為 , , , 。將永久鏈結加入書籤。

1 則回應給 256元搞定兩年份 TLS/SSL 憑證

  1. 陳小花 說道:

    謝謝你的分享,寫得非常詳細清楚。

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *