昨天在Namecheap.com撸了一个性价比最高的Comodo Positive SSL证书, 这个SSL证书非常适合中小企业和个人用户, 现在简单说说Comodo SSL证书设置步骤. 购买SSL证书 购买证书之前你首先需要生成一个秘钥(key)和一个CSR文件(用于证书签名请求) https://www.gogetssl.com/online-csr-generator/ 以本网站为例 如果您的证书是单域名, 那么这里的域名建议使用https://www.openos.org, 这样一般的SSL签发商都会附送openos.org的证书. 如果您的是Wildcard通配符(泛域名)SSL证书那么需要用https://*.openos.org来生成. 点击Generate CSR后会生成CSR和秘钥Key文件, 注意保存好这两个文件. 当然也可以通过命令自己生成, 可以参考下面命令 openssl req -new -newkey rsa:2048 -nodes -keyout www_openos_org.key -out www_openos_org.csr 会生成两个文件 www_openos_org.key - 你的私钥 www_openos_org.csr - 你的CSR文件 现在你可以在Namecheap或者其他地方购买证书, 购买的时候会让你填写刚刚生成的CSR文件, 并且验证域名. 完成后应该很快收到Comodo PositiveSSL证书的电子邮件, 邮件里面包含以下文件: 根CA证书 - AddTrustExternalCARoot.crt 中级CA证书 - COMODORSAAddTrustCA.crt 中级CA证书 - COMODORSADomainValidationSecureServerCA.crt 您的Comodo PositiveSSL证书 - www_openos_org.crt 安装Commodo SSL证书 以宝塔为例, 你可以在SSL设置里面输入相关信息, 秘钥(KEY)处输入您之前生成的Key, 右边证书里面依次输入下列证书. www_openos_org.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt 这里顺序很重要, 不要搞错了. 如果无法查看CRT文件, 那么最简单的方法就是把后缀改为.txt后再打开. 如果您没有使用面板, 那么需要使用下面方法合并证书, 后续Web服务器配置方法可以参考Google. cat www_openos_org.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt> ssl-bundle.crt 总之, 不光要添加Key和域名证书, 还必须添加CA根证书, 要不然部分的浏览器会报错, 而且CA根证书必须依次包括COMODORSADomainValidationSecureServerCA.crt和COMODORSAAddTrustCA.crt还有AddTrustExternalCARoot.crt
