性价比较高Namecheap SSL证书申请及应用到网站过程

在公司的企业网站客户中使用的付费SSL证书，我一般建议使用来自国外的Namecheap商家提供的PositiveSSL证书，大约年需要60元左右，成本还是可以接受的。这不，在这篇文章中，笔者将会详细记录我是如何在Namecheap购买SSL证书，以及如何部署到网站项目中的过程。

第一、Namecheap SSL证书购买

购买地址：https://www.namecheap.com/security/ssl-certificates/

我们可以看到Namecheap商家有多个SSL证书类别可以选择，这里我们直接选择最便宜的年付是8.88美元，两年是年7.88美元，直接一次买两年最划算。直接添加购物车付款。只能支持PAYPAL和信用卡，不支持支付宝。

第二、激活绑定SSL证书

我们在上面已经购买一个SSL证书，但是还没有绑定属于哪个域名使用，这里我们就要做这件事情。

这里我们直接点击ACTIVE准备激活SSL。

这里我们需要先获得域名的CSR才可以继续，那我们到哪里获取呢？

在线获取工具：https://www.chinassl.net/ssltools/generator-csr.html

一个CSR需要用上上面继续，有一个KEY文件需要保留，后续在安装SSL证书的时候用到。

然后选择我们需要用到的WEB环境。

选择域名所有权验证方式，这里我直接用DNS验证。然后提交之后，我们再回到NC官方界面选择自己的验证方式提交修改域名CNAME验证。

根据自己设定的验证方式进行设置之后，等待会自动验证域名所有权之后会将证书下放到我们邮箱中。

第三、部署SSL证书到网站中

我们解压到SSL证书文件中，看到有2个文件。会看到www_laobuluo_com.ca-bundle和www_laobuluo_com.crt两个文件，我们需要合并到一个.crt里，将复制.ca-bundle里的所有内容脚本到.crt文件中，这样组合成一个.crt文件。

在加上我们上面申请到的KEY文件，这么两个文件之后我们就可以部署到网站中。

/usr/local/nginx/conf/vhost/

找到我们需要部署网站的配置文件，然后添加443端口，记住如果我们有安全组的也需要放行443端口，有防火墙的也需要添加443端口放行。

listen 443 ssl http2;
ssl_certificate /home/ssl/www.laobuluo.com.crt;
ssl_certificate_key /home/ssl/www.laobuluo.com.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
ssl_prefer_server_ciphers on;
ssl_session_timeout 10m;
ssl_session_cache builtin:1000 shared:SSL:10m;
ssl_buffer_size 1400;
add_header Strict-Transport-Security max-age=15768000;
ssl_stapling on;
ssl_stapling_verify on;

配置文件中添加上面的脚本，且需要对域名和SSL路径修改。最后我们重启NGINX才可以生效。

第四、小结

1、如果需要付费SSL证书，个人比较倾向选择NAMECHEAP商家的，价格比较便宜且申请过程简单。

2、相对而言，普通个人网站可以用免费证书，企业或者商业网站，建议还是用付费证书比较好。