这辈子只能碰到一次! 记一次SSL无故被撤消!

SSL证书刚更新一切都那么正常, 突然有一天网站不能访问了, Chrome浏览器提示有风险, 没有继续访问链接,没有,没有, 重要的事情说三遍, 于是乎赶紧加班查原因, 发展浏览器报的错误是证书撤消(不敢相信,难不成....), 赶紧试所有的有浏览器试了个遍都一样又去手工验证, 天哪是真的, 只能打CA提供商客服了. 原来是CA那边出bug了, 具体什么bug就是好多ssl证书没验证域名所有权就发证书了, 无语....

• 解决方法, 重新认证域名控制权, 具体就是在主域下上传一个html文件, 内面写入他们提供的唯一id, 将html页面做到指定的url上本地就配置好了, 然后登录其网站点击去验证,应该就OK了
  
• 验证完毕就可以下载证书文件了, 跟根服务器类型选择下载(我的是nginx选择其它类型), 包里面有两个文件一个貌似随机字符串就是我们需要的证书, 另外一个是根证书证书链文件, 将两个文件合并
  cat 53f58e3ac2172cd5.crt gd_bundle-g2-g1.crt > domain.crt将这个文件和服务器上的server.key设置到nginx.conf中就完成了, 过程倒是不复杂,关键是太吓人...谁能想到这玩意儿会被撤消...

下面附上提交申请到配置nginx的详细笔记:

申请SSL并配置nginx,整体流程是:

1. 生成密钥,生成时必须得输入密码, 生成后再删除密码
2. 生成csr文件, 输入国家, 省, 市, 公司名, 部门(可不输), 邮箱, 最后是密码(直接回车不输入)
3. 拷贝csr文件内容到godaddy网站csr内并提交申请
4. 批准后选择服务器类型下载证书(nginx服务器选择其它类型)
5. 将证书上传到服务器(我传到/etc/ssl/文件夹内)
6. 将key文件邮件密码备用
7. 将两个crt证书文件合并(随机字符串名的文件在并面)
8. 编辑nginx服务器配置文件
9. 重起nginx服务器

• 准备工作:

  ubuntu@xxxxxx:~$ pwd
  /home/ubuntu
  ubuntu@xxxxxxx:~$ openssl genrsa -des3 -out server.key 2048      # 命令!产生一个最少2048的密钥
  Generating RSA private key, 2048 bit long modulus
  ...+++
  ...+++
  e is 65537 (0x10001)
  Enter pass phrase for server.key:			# 输入密码
  Verifying - Enter pass phrase for server.key:		# 再次输入
  
  ubuntu@xxxxxx:~$ openssl req -new -key server.key -out server.csr       # 使用这个key生成申请文件
  Enter pass phrase for server.key:										    # 输入密钥的密码
  You are about to be asked to enter information that will be incorporated
  into your certificate request.
  What you are about to enter is what is called a Distinguished Name or a DN.
  There are quite a few fields but you can leave some blank
  For some fields there will be a default value,
  If you enter '.', the field will be left blank.
  -----
  Country Name (2 letter code) [AU]:CN    		# 国家(两位字母)
  State or Province Name (full name) [Some-State]:Beijing   # 省份
  Locality Name (eg, city) []:Beijing					# 城市
  Organization Name (eg, company) [Internet Widgits Pty Ltd]: Astrowings for zhangyu			# 公司名
  Organizational Unit Name (eg, section) []:		# 部门(可不写)
  Common Name (e.g. server FQDN or YOUR name) []:homeba.com.cn  	# 域名, (也可*.homeba.com.cn泛域名)
  Email Address []:zyu911@126.com    			# 公司对外邮箱
  
  Please enter the following 'extra' attributes
  to be sent with your certificate request
  A challenge password []:		    # 直接回车
  An optional company name []:		# 直接回车完成
  ubuntu@xxxxxxx:~$ 
  
  # 执行以下命令去除密钥文件的密码(很重要否则nginx会出问题, 每次重起都要输入密码)
  openssl rsa -in server.key -out server_nopass.key    
  

• 申请并下载

  # 查看生成的xxxx.csr文件并将内容拷贝到网页上面的csr去申请证书
  [root@xxxxxxx ~]# cat xxxx.csr 
  -----BEGIN CERTIFICATE REQUEST-----
  MIICwzCCAasCAQAwfjELMAkGA1UEBhMCQ04xEDAOBgNVBAgMB0JlaWppbmcxEDAO
  BgNVBAcMB0JlaWxxxxxxxxxxxxxxxxxxxxxxxxxxxxxWMBQGA1UEAwwNaG9tZWJh
  LmNvbS5jbjEiMCAGCSqGSIb3DQEJARYTYWRtaW5AaG9tZWJhLmNvbS5jbjCCASIw
  DQYJKoZIhvcNAQExxxxxxxxxxxxxxxxxxxxxxxxxxxxxxEI5RuO+Wa1uEYujZLoO
  88dVU99va7wBFP/iPXKOlegBUoSulAsB2Rc8xJaybPzpB3z26ZFjkzt4cuccFgoB
  IZx6f/5phv4QXI7f+yTvnWD7u6eypAkN6tURF3RxiIayTg5e6lfXQOGOsuD1hgve
  YDUoEw0bZzHFRYvtQ5b1vUnaLuKCDxy+jyo/dLsf5/8JyUxuJyEHWZg2fd/WdtQ6
  Rt91wcTLlKdV1ToT4cu1PInqJZY5H+4R7u1nu8nmOekCed6uXmHqFrEPIaNetgvL
  n/UvNJzeCN7/s1taAE/xxxxxxxxxxxxxxxxxxxxxxxxxxxhv64CIy/gKFR0CAwEA
  AaAAMA0GCSqGSIb3DQEBBQUAA4IBAQDksoRnUd5Jit5OiStYDRkvbtpZ+z68zAaT
  thp7lGjw8Ranl5e36qKjraP1EKYH55Pov1jl0zhL+vruCfSfb1CEKzwkZy54NbRj
  OHwF/Mqeyu2Lg8xU/VNzkxxxxxxxxxxxxxxxxxxxx7xt33puCCJKI9JGGyX1DQBi
  i8dkTkwEUmG643mHmt1oUKxaSH8Zi9aW946sG39v1iH2dCl2LQ9H4jyGAG/mV0rw
  gIVOApRrJH3BTBcY8WExxxxxxxxxxxxxxxxxxxxxxxxcFAXoEwjI7QODRD45iNZD
  Fr5IYhaUSOVrXxNk/03jIwafsBupR2Ur6RKf/9x01xoAnjuLTy4e
  -----END CERTIFICATE REQUEST-----
  
  # 证书批准后从godaddy下载证书文件 如果是nginx服务器选择其它种类并下载.zip文件.解压后是两个文件:
  	53f58e3ac2172cd5.crt   # 域名证书
  	gd_bundle-g2-g1.crt    # 根证书
  
  
  # 而后使用如下命令合并证书
  cat 53f58e3ac2172cd5.crt gd_bundle-g2-g1.crt > domain.crt
  

• 配置nginx

  server {
  	listen	443 ssl;
  	server_name	xxoo.com.cn www.xxoo.com.cn;
  
  	ssl on;
  	ssl_certificate	/etc/ssl/domain.crt;    # 全并后的证书!
  	ssl_certificate_key /etc/ssl/server_nopass.key;   # 去除密码的key私钥文件
  
  	location / {
  		proxy_pass http://unix:/tmp/ooxx.sock;
  		proxy_set_header Host $host;
  		proxy_set_header X-Real-Ip $remote_addr;
  		proxy_set_header X-Forwarded-Proto $scheme;
  		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  		# uwsgi_pass	xxxoo;		# 以后要用uwsgi
  		# include uwsgi_params;
  	}
  
  	location /static {
  		root /var/www/ooxx;
  	}
  	location /Robots.txt {
  		root /var/www/ooxx;
  	}
  }
  
  server {
  	listen	80;
  	server_name	xxoo.com.cn www.xxoo.com.cn;
  	# rewrite		^(.*)$ http://xxoo.com.cn$1;
  	rewrite ^(.*)$ https://$host$1 permanent;
  }