[传送门]-Chrome计划否认赛门铁克的SSL证书
0.HTTPS
https在http的基础上增加了SSL认证协议为web服务提供了安全保障,博主去年7月份左右完成域名备案之后也通过腾讯云平台申请并部署了赛门铁克(symantec)的SSL证书。
最近研究自己的博客时在浏览器控制台发现了Chrome的警告,警告给出了文章网址(网址在墙外),文章大意就是Chrome计划否认赛门铁克的SSL证书,在新版本的Chrome中会直接拒绝赛门铁克认证而不是如今的隐形的警告。我们可以看到这样一个表格,最近两个版本Chrome的预计发布时间表:
Chrome预计发布时间表1.Let’s Encrypt
好在SSL认证也算是基础服务,我找到一个免费认证的服务,Let’s Encrypt,而且其部署相当的简单。
Let’s Encrypt 推荐用户使用certbot 来部管理其SSL证书。
它的主页有详细的使用方法。
选择web服务软件 apache 和 操作系统 CentOS6,简单点选择“automated”。
$ wget https://dl.eff.org/certbot-auto
$ chmod a+x certbot-auto
$ sudo ./path/to/certbot-auto --apache
这里会有一个交互式过程,按其描述正确输入email、选择有效的域名。
运行结束后仔细查看输出的结果,脚本会自动在/etc/letsencrypt/目录下创建相关文件,如果脚本运行中没有遇到致命错误,那么在/etc/letsencrypt/live/example.com/目录找到证书文件,并且前面没有选用certonly选项则会在/etc/httpd/conf/下自动生成apache相关的配置文件。
这里存在的问题就是,我的系统默认的httpd配置主文件和配置文件目录在/etc/httpd/conf.d/下,此时重启httpd会导致两套配置冲突导致其中一套配置不生效。
我的做法是直接修改原先那套配置的ssl.conf文件,将原来的SSL秘钥文件指向修改到/etc/letsencrypt/live/example.com/新的目标。