昨天在Namecheap.com撸了一个性价比最高的Comodo Positive SSL证书, 这个SSL证书非常适合中小企业和个人用户, 现在简单说说Comodo SSL证书设置步骤.

购买SSL证书

购买证书之前你首先需要生成一个秘钥(key)和一个CSR文件(用于证书签名请求)
https://www.gogetssl.com/online-csr-generator/

以本网站为例
如果您的证书是单域名, 那么这里的域名建议使用https://www.openos.org, 这样一般的SSL签发商都会附送openos.org的证书. 如果您的是Wildcard通配符(泛域名)SSL证书那么需要用https://*.openos.org来生成.

点击Generate CSR后会生成CSR和秘钥Key文件, 注意保存好这两个文件.

当然也可以通过命令自己生成, 可以参考下面命令

openssl req -new -newkey rsa：2048 -nodes -keyout www_openos_org.key -out www_openos_org.csr

会生成两个文件
www_openos_org.key - 你的私钥
www_openos_org.csr - 你的CSR文件

现在你可以在Namecheap或者其他地方购买证书, 购买的时候会让你填写刚刚生成的CSR文件, 并且验证域名. 完成后应该很快收到Comodo PositiveSSL证书的电子邮件, 邮件里面包含以下文件:

根CA证书 - AddTrustExternalCARoot.crt
中级CA证书 - COMODORSAAddTrustCA.crt
中级CA证书 - COMODORSADomainValidationSecureServerCA.crt
您的Comodo PositiveSSL证书 - www_openos_org.crt

安装Commodo SSL证书

以宝塔为例, 你可以在SSL设置里面输入相关信息, 秘钥(KEY)处输入您之前生成的Key, 右边证书里面依次输入下列证书.

www_openos_org.crt
COMODORSADomainValidationSecureServerCA.crt
COMODORSAAddTrustCA.crt
AddTrustExternalCARoot.crt

这里顺序很重要, 不要搞错了.
如果无法查看CRT文件, 那么最简单的方法就是把后缀改为.txt后再打开.

如果您没有使用面板, 那么需要使用下面方法合并证书, 后续Web服务器配置方法可以参考Google.

cat www_openos_org.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt> ssl-bundle.crt

总之, 不光要添加Key和域名证书, 还必须添加CA根证书, 要不然部分的浏览器会报错, 而且CA根证书必须依次包括COMODORSADomainValidationSecureServerCA.crt和COMODORSAAddTrustCA.crt还有AddTrustExternalCARoot.crt