SSL 申請、安裝 (Godaddy + aws + ubuntu + apache2)

新服務 api、web、img 都需要掛 SSL 憑證，記錄一下 UCC SSL 申請安裝流程

不想花錢可使用 CloudFlare 或 AWS Certificate Manager 免費 SSL

購買申請 (圖解看下方，goDaddy教學)

1. 購買
1. DV / OV，單一 / 多個網域(UCC/SAN) / 所有子網域 / 5個子網域
2. 付款日並非憑證起算日
2. 產生 CSR
1. Apache2 產法 (Gandi or Godaddy)
2. 舊有的 CSR，可用 CSR Decoder 看 domain 對不對
3. 如果 domain 託管在這邊，直接輸入 xxx.xxx，就會自動產
3. 申請憑證
1. 若買多網域 UCC SSL，SAN 欄位填寫多個 FQDN
1. 若買 5 個，只能填寫 4 個，第 1 個固定為 "www.yourdomain.com"
2. 確認為 Domain 擁有者
1. 方法一：SSL商會發信給該清單內每個 Domain 擁有者，由信中去確認
2. 方法二：DNS 增加 TXT 的 Record，SSL商會提供
3. 約幾分鐘就可通過
4. 審核通過當天，開始算憑證有效日
4. 安裝
5. *.申請通過後，仍可異動 SAN 清單，異動後須重抓憑證，舊的會維持一週有效

安裝 (link)

環境：AWS ubuntu 16.04 + apache2

1. 檢查 server 是否開對外 443 port
2. 開啟 apache2 SSL mode

a2enmod ssl

3. 改掉 default config Port

#default-ssl.conf
<ifmodule mod_ssl.c="">
    <virtualhost _default_:444=""> #<-- 從 443 改成 444

</virtualhost>
</ifmodule>

4. 產 Chain 檔
1. https://whatsmychaincert.com/
2. Generate the Correct Chain 欄位，貼上 crt
5. 新增 SSL config 或複製 一般 config

#開頭
<ifmodule mod_ssl.c="">
     <virtualhost*:443>
        SSLEngine On
        SSLCertificateFile 從SSL商下載的 xxxhashcodexxxx.crt
        SSLCertificateKeyFile 一開始自己/Web產的Key檔.key
        #SSLCertificateChainFile Chain檔(由crt產)
#結尾
     </virtualhost>
</ifmodule>

注意：apache 2.4.8 前後，SSL 參數有差異 (請見link).
6. Enable config

a2ensite xxx.conf

7. 重新啟動

service apache2 restart

Step-by-Step

範例：可以掛在5個網站上，也可是 5個 cname

1. 購買
1. 網站入口 (link)
2. 選擇 UCC/SAN
   
3. 選擇方案
   
   
   
   
4. 確認付款
5. domain 如在 godaddy 託管，輸入 domain 並下載
   
   
   
   
6. 如果弄錯，也可取消申請
   
   
   
2. 驗證身份
   
   
   
   
   
   
3. 完成 (1：可以下載憑證，2：可以新增網址)
   
   
   
   
   
4. 
   

常見狀況

• 瀏覽時只出現「灰色 https」，沒有綠色鎖頭
• F12 開發者模式
• https 頁面內的資源也必須是 https，如 css、js、img
• S3 加掛 SSL 請見 AWS篇章
• 沒加掛 chain crt，facebook meta 可能會失常，需確認
•  作法見 link
• Godaddy DNS，A@Forwarded 無法刪除
• 續約 dns 支後，設定檔被系統多覆蓋了一層，需聯絡 Godaddy 解決
• 要同時使用 GoDaddy + 其他家的 Name Service
• 用 record 加上 ns 類型，value 用 name service 位址

Chrome、FF、Safari 已封鎖的憑證

• WoSign 沃通
• StarCom