全世界最便宜的SSL憑證加簽
台灣SSL憑證加簽公司因為市場小,所以SSL憑證加簽,看服務類型一年動輒數萬到超過十萬都有,一般來說,憑證加簽有針對單一網域名稱加簽,價格較便宜,例如針對bookclub.fmj.com.tw這個網域名稱加簽,也可以針對一個網域的所有子網域名稱加簽,價格會較貴,例如針對*.fmj.com.tw加簽,則www.fmj.com.tw或bookclub.fmj.com.tw或fmj.com.tw下的任意子網域名稱都同時有效。
全世界最便宜的SSL憑證加簽,約落在一年美金3-5元之間,通常一次購買三年或以上,才享此優惠價格,前一陣子因為要做FB的APP,需要https連線,所以趕緊去申請了一個當時全球最便宜之一的SSL憑證加簽,所以這篇文章的範例,是JSP網站使用COMODO(柯摩多)憑證加簽作範例,一年只要4.99美元,一次買三年,三年合計不到台幣500元,安裝了之後,我其實蠻滿意的,唯二不太開心的是,原本預計一個小時內會買完並且安裝完,結果如預期般的遇到挫折,花了超過三小時才安裝完,而且才剛裝完,又看到另外一家一年只要3.xx美元...
1.申請前要先做的準備工作
由於COMODO線上申請憑證,他需要確認你擁有所申請網域名稱的控制權,以本文章範例來說,我要申請bookclub.fmj.com.tw的SSL憑證加簽,所以我要具有以下幾個控制權之一,且隨便一個即可,例如我要能收到 admin@bookclub.fmj.com.tw之EMail信箱的認證信函,至於信箱admin也可以挑選其他例如administrator、postmaster、hostmaster或webmaster之類的一堆象徵網域系統管理者名稱的信箱名字,或者呢,你可以將COMODO提供的認證檔案,放到bookclub.fmj.com.tw網站的根目錄下,選擇讓COMODO的測試程式透過http或https連上來認證,又或者呢,你要有添加bookclub.fmj.com.tw網域名稱下子網域名稱的權力,這樣COMODO會給你一個看似亂碼組成的子網域名稱,你必須將他加到你的DNS伺服器裡,變成例如34857394CBA.bookclub.fmj.com.tw,但由於DNS伺服器通常有更新時間的問題,所以認證時間可能要很久,最後,你要有接受購買訊息通知的EMail信箱,並請再準備一張線上付費的信用卡。
2.使用java發SHA2的憑證與加簽申請CSR檔
SHA1的憑證已經被大多數的瀏覽器認定為不安全,所以除非有特殊要求,建議你發SHA2的憑證,其keyalg和sigalg參數範例如下,validity是憑證有效天數,以下範例請自行修改你的網域名稱與路徑等參數,SHA2的keysize要用2048,alias是憑證的名字,keypass和storepass則是憑證和憑證儲存檔案的存取密碼,當然,發憑證的這台電腦,要安裝java才行,且為了發SHA2憑證,不要使用太老舊的java版本(筆者試過java7與8都可以),以下是單獨的一行指令,可以用Windows的命令提示字元來執行。
"C:/Program Files/Java/jre7/bin/keytool" -keysize 2048 -genkey -alias tomcat -keyalg RSA -sigalg SHA256withRSA -validity 36500 -dname "CN=bookclub.fmj.com.tw,OU=it,O=fmj,L=taipei,S=taiwan,C=tw" -keypass changeit -keystore "C:/fmj.keystore" -storepass changeit
附帶一提,此處憑證儲存檔案名稱取名為例如fmj.keystore,儘量不要用預設的憑證名稱.keystore,因為這種只有附檔名的檔案名稱在Mac或Linux上都是屬於隱藏檔,使用不太方便,
憑證發完了,接著發憑證加簽請求CSR檔案:
"C:/Program Files/Java/jre7/bin/keytool" -certreq -keyalg RSA -alias tomcat -file "C:/fmj.csr" -keystore "C:/fmj.keystore"
大功告成,fmj.csr這個文字檔,就是憑證加簽請求檔。
3.上Cheap SSL網購買COMODO憑證
連到以下CheapSSL網址https://cheapsslsecurity.com/,如下圖,如果要加簽含有多個子網域的網域名稱,才選Wildcard Certification,此處範例只要加簽一個不含子網域的網域名稱,例如bookclub.fmj.com.tw,就選Domain Validation,下圖有多家憑證加簽公司,選最便宜的COMODO,按下BUY NOW按鈕購買。
如下圖,挑選購買3年的憑證加簽,則3年後要重新續約,否則憑證加簽會失效,選了要加簽的憑證數量(此處為1個),按下Add TO CARD按鈕加入購物車。
如下圖,填入個人聯絡資料與信用卡付費資料,重點是電子郵件信箱要填正確,等等要去收CheapSSL寄給你的信,信中會提供下一步驟的指示,下圖確認要購買的項目與數量後,就可以按下PLACE ORDER按鈕購買憑證加簽,按下此按鈕後,又會跳出一個畫面(此圖省略)要求你再確認一次,就再按一次確認就可以了。
接著跳出畫面如下,僅是確認你所購買的項目無誤而已
4.由CheapSSL發的EMail連結到其網站貼入憑證加簽申請CSR檔案
做完步驟3,此時去收信應該CheapSSL的信已經立馬寄到了,筆者收到兩封EMail,一封是付費收據,一封有提供超聯結給你連入他的系統,以便貼入前面步驟2所產生的CSR憑證加簽申請檔案,連入他的系統畫面如下,可以看到你所購買的憑證項目。
接著,如下圖,畫面左方挑選ORDERS\incomplete Orders目錄,就會看到未完成的申請項目,也就是Status欄位顯示Pending的憑證項目,按下畫面中的GENERATE CERT NOW按鈕來進行接下來的憑證加簽檔案上傳步驟。
如下圖,欄位1選擇是要續約還是申請新的憑證加簽,此處選擇New代表申請新的憑證加簽,欄位2選擇你要如何證明你擁有所申請網域名稱的權限,筆者選擇最簡單的HTTP File-Based,就是等等讓他給我一個電子檔案下載,下載後我會將這個電子檔案放到我 bookclub.fmj.com.tw的根目錄下,讓他遠端連過來認證。
接著,將前面步驟2產生的CSR檔案用例如Windows的記事本打開,將其內所有的內容複製貼到下圖欄位3裡面,然後在欄位4選擇你所使用的網頁應用程式伺服器,雖然這個步驟可以省略,但此處筆者還是選擇了我所使用的網頁應用程式伺服器Tomcat,最後按下CONTINUE按鈕繼續往下。
接著畫面如下,利用按下Download Auth File按鈕來下載上圖欄位2認證網域名稱擁有權的電子檔案(檔名是一堆亂碼例如287342908374.txt),我將他放到我的網站bookclub.fmj.com.tw的根目錄下以便受檢,如果他檢查不到,你也可以自行檢查看看,例如我可以自行使用瀏覽器連上我的網址http://bookclub.fmj.com.tw/287342908374.txt,看看是否有成關連上這個電子檔,檢查速度會很快在背後偷偷自動完成,下圖欄位1與欄位2是由你所上傳的CSR檔案解析出來的資料,僅供你再次確認,欄位3可以填入這個憑證申請管理者與工程師的聯絡資料,除非有需要分人負責,否則都填入你的聯絡資料就可以了。
至於下圖欄位4只是確認你知道購買憑證加簽的權利義務以及你擁有15天的不滿意退費服務,應該預設都是勾選的,按下CONTINUE按鈕繼續往下。
接著畫面如下圖,會要求你替此次購物經驗評分,隨便評一下吧。
接著下圖畫面選擇Yes讓他能夠後續追蹤你的滿意程度(否則他會跳出更多煩人的視窗說服你選Yes),既然同意讓他後續追蹤,就填入你的名字與電子郵件信箱,按下SUBMIT FEEDBACK按鈕上傳你的意見回饋。
大功告成啦,接著如下圖,按下紅色打叉小按鈕繼續往下。
接著畫面如下,又是確認再確認就可以了,倒是如果你前面忘了下載那個確認你網域名稱擁有權的電子檔案,下面的畫面還可以再下載一次,如果前面你已經正確的做過了,此處就不用再做一次。
此時,你又要去收信了,這次不是CheapSSL寄信給你,是COMODO寄加簽完成的憑證給您啦。
5.由COMODO發的EMail附件下載加簽完畢的憑證
下圖是我的EMail信箱,前兩封是這次COMODO寄給我的,一個是跟我說我可以去下載COMODO的安全認證標章圖片放到我的網頁裡,我只能說,管他的,但是如果你有需要的話,是可以照著做,另一封就是寄來加簽完成的憑證以及COMODO的根憑證與中繼憑證,點進去下載他的附件吧。
至於下圖的第三和第四封EMail,是前面第四步驟CheapSSL發給我的EMail讓我連結到他網站貼入憑證加簽申請CSR檔案。
EMail點進去,畫面如下,申請不同的憑證類別,所需的中繼憑證數量可能不同,此範例的EMail附件是一個ZIP壓縮檔案,解壓後是一個根憑證,兩個中繼憑證,和一個這次所申請我網域名稱的加簽憑證,而根憑證和中繼憑證,基本上都可以在COMODO的公開網站裡下載得到。
6.安裝加簽憑證到你的伺服器上
往下做之前,請先將憑證儲存檔案如此處的fmj.keystore備份,做錯了就將錯誤的憑證儲存檔案刪除掉就好了,重新複製一個原始的憑證儲存檔案來重新做,前面說到EMail附件解壓縮後有以下四個憑證檔案:
Root CA Certificate - AddTrustExternalCARoot.crt
Intermediate CA Certificate - COMODORSAAddTrustCA.crt
Intermediate CA Certificate - COMODORSADomainValidationSecureServerCA.crt
Your PositiveSSL Certificate - bookclub_fmj_com_tw.crt
我們要將這四個憑證都匯入步驟二所發的憑證儲存檔案fmj.keystore中,因為這個步驟要使用java所提供的龜毛程式keytool,我們先講COMODO官方網站所提供錯誤且keytool不接受的方法,這也是為什麼我花了超3小時才搞定這個憑證的原因,官方說明如下:
Certificate Installation: Java Based Web Servers (Tomcat) using keytool
Installing SSL Certificate Chain (Root, Intermediate(s) and the End Entity)
所以我使用Windows的命令提示字元照著做(這是錯誤示範):
1. Import Root Certificate (這是錯誤示範)
"C:/Program Files/Java/jre7/bin/keytool" -import -trustcacerts -alias AddTrustExternalCARoot -file "C:/db/ca/fmj/AddTrustExternalCARoot.crt" -keystore "C:/db/ca/fmj/fmj.keystore"
2. Import Intermediate(s) (這是錯誤示範)
"C:/Program Files/Java/jre7/bin/keytool" -import -trustcacerts -alias intermediate_filename -file "C:/db/ca/fmj/COMODORSAAddTrustCA.crt" -file "C:/db/ca/fmj/COMODORSADomainValidationSecureServerCA.crt" -keystore "C:/db/ca/fmj/fmj.keystore"
3. Import Entity/Domain certificate (這是錯誤示範)
"C:/Program Files/Java/jre7/bin/keytool" -import -trustcacerts -alias tomcat -file "C:/db/ca/fmj/bookclub_fmj_com_tw.crt" -keystore "C:/db/ca/fmj/fmj.keystore"
結果就出現錯誤,訊息如下:
金鑰工具錯誤: java.lang.Exception: 無法從回覆中將鏈建立起來
我原本想,這個錯誤和上次申請的那家godaddy憑證加簽是一樣的,是因為他所提供的根憑證過期造成的,結果不是,因為我去COMODO重新下載最新的根憑證重新匯入,錯誤訊息還是一樣,最後讓我 google 到以下網站的方法就成功了:
https://community.igniterealtime.org/docs/DOC-2208
方法就是,將所有憑證依照根憑證、中繼憑證與加簽憑證的正確順序,貼到同一個文字檔案中(我自己取了一個檔名combine.crt),以 enter 分隔每個憑證的內容,再直接匯入這個新的文字檔到憑證儲存檔案fmj.keystore裡,成功了!沒有依序匯入憑證時造成憑證彼此無法互相關聯的錯誤訊息,指令範例如下:
"C:/Program Files/Java/jre7/bin/keytool" -import -keystore "C:/db/ca/fmj/fmj.keystore" -alias tomcat -file "C:/db/ca/fmj/combine.crt"
接下來,這個憑證儲存檔案fmj.keystore,就可以搬到你的網頁應用程式伺服器上,作為SSL通訊協定所使用的憑證啦,這個部分應該讀者已經很熟悉了,就不繼續寫下去了。
參考資料
https://community.igniterealtime.org/docs/DOC-2208
