SSL这个证书的续费也挺奇怪,续费跟新购买一样。
证书这个东西,申请成功之后,每次都要重新下载,需要处理好格式之后,放在服务器的指定目录里。
大致操作如下:
首先,申请/续费证书,证书下来后,下载下来,根据自己的服务器类型有针对性的下载
Tomcat、Apache、Nginx、IIS等
下载后一般是一个压缩包:
文件名格式:xxxxxx_域名_服务器类型.zip
里边有三个文件名字分别包含:chain、public、key。
三个文件下载解压之后扩展名是.crt文件
以下用Apache举例:
证书相关文件可以直接放到服务器的指定目录里
例如:/usr/local/apache/conf/ssl/ 目录
默认的文件名很长,可以把前缀都删除,只保留后边的一部分能区分不同文件即可。
然后修改apache的配置文件
找到<VirtualHost *:443>位置,如果没有需要创建一个新的,可以复制80端口的配置,修改端口号为443即可
然后下边新增
SSLEngine on
SSLCertificateFile /usr/local/apache/conf/ssl/public.crt
SSLCertificateKeyFile /usr/local/apache/conf/ssl/key.key
SSLCertificateChainFile /usr/local/apache/conf/ssl/chain.crt
然后保存退出后,重启apache服务,在浏览器输入https加域名就可以访问了
也可以可以看到证书信息了。
当然,还有一种情况,就是本身需要的证书扩展名是pem的 ,不是crt
那么就要做一个扩展名的转换,理论上证书申请的地方都会有类似的工具。
如果找不到,本地通过openssl命令也可以完成转换
sudo openssl x509 -in chain.crt -out chain.pem
sudo openssl x509 -in public.crt -out public.pem
权限不够才需要加sudo,如果是root账户可以忽略。当然sudo权限也是需要配置的。
通过以上的命令就完成了扩展名的转换。然后同样的配置方式修改apache的配置文件
SSLEngine on
SSLCertificateFile /usr/local/apache/conf/ssl/public.pem
SSLCertificateKeyFile /usr/local/apache/conf/ssl/key.key
SSLCertificateChainFile /usr/local/apache/conf/ssl/chain.pem
最后,重启apache服务
apachectl restart
或者
systemctl restart httpd
或者
service httpd restart
现在服务重启的命令,,,