简单说明：

目前多个大型网站都实现全站HTTPS，而SSL证书是实现HTTPS的必要条件之一。

StartSSL是StartCom公司旗下的、提供免费SSL证书服务并且被主流浏览器支持的免费SSL。包括Chrome、Firefox、IE、360、搜狗等浏览器都可以正常识别StartSSL，任何个人都可以从StartSSL上申请免费一年的SSL证书。（到期前两周会得到邮件通知，此时可以免费续签）

StartSSL的官方网站是http://www.startssl.com，网站需要提供一个邮箱来申请StartSSL证书（即邮箱证书凭证），并且以此作为登录和管理StartSSL的唯一凭证。（务必好好保存或备份，否则将没法登录，特别是重新系统又忘记备份）

申请步骤：

1 打开StartSSL官方网站 http://www.startssl.com

2 申请账号（邮箱证书凭证）

2.1 点击Sign-up打开申请界面

2.2 Country已经默认为China。在Email输入框中，输入您的邮箱。（此邮箱用于接收网站重要消息）

2.3 点击"Send verification code"，提交后系统会发送一个随机验证码到邮箱。

2.4 打开邮箱，找到验证码

2.5 把验证码复制到Verification Code输入框里，点击“Sign Up” 提交。

2.6 如果申请顺利通过，将会立即显示"Email control is verfied".

3 登录

3.1 StartSSL使用证书来登录。点击“Login”后，点击"Authenticat"进行证书验证。

3.2 在弹出的“证书选择”提示框中，选择刚才申请的邮箱证书凭证。

3.3 登录成功后，会自动跳转到欢迎页。

4 域名验证

4.1 登录后，点击"Valiations Wizard"，打开域名验证向导。

4.2 选择"Domain validation"，点击“Continue”，进行域名验证。

4.3 在“Domain”输入框内，输入你需要申请SSL证书的域名，点击“Continue”进行下一步。

4.4 在列出来的域名管理员邮箱中，选择一个使用中的管理员邮箱。

4.5 点击“Send Verification Code”后，系统将发送一个随机验证码到域名管理员邮箱。

4.6 打开管理员邮箱，复制验证码到“Verification Code”输入框中，然后点击“Validation”进行域名验证。

4.7 如果域名验证通过，将会显示"Validation Success" 信息.

5 申请SSL证书

5.1 一个域名可以申请多个域名证书。一个域名证书支持最多五个二级域名。

5.2 登录后，点击"Certificates Wizard"，打开SSL证书申请向导。

5.3 选择"Web Server SSL/TLS Ceritificate",点击“Continue”进入下一步。

5.4 在“Validated Domain(S)”输入内输入需要申请的域名。

每个二级域名单独占一行，最多输入可以五个域名，如：

www.abc.com

api.abc.com

5.5 选择“Generated by PKI System"，指定使用系统来自动生成密钥文件。

5.6 密码类型 "KeySize"， 选择4096(High)。（这样更安全）

5.7 在"Private key password"和"Enter password again"输入框中，输入并确认密钥密码。（解密密钥文件时需要用到，务必保存好）

5.8 点击“submit”后，弹出密钥说明框（实际就是一段字符串）。

5.9 点击“Download Private Key”下载保存好此密钥（重要文件，务必保存好）

5.10 保存密钥文件后，点击“submit”提交此密钥，系统会再次询问你是否已经保存好密钥。如已保存，点击“确定”

5.11 如果顺利提交密钥，系统会提示“Your Cerificate is issued......后面省略”，说明SSL证书已经生成成功。

6 获取SSL证书，解密密钥文件

6.1 登录后，点击"Tool Box"，打开系统工具。

6.2 点击“Cerificate List”，打开证书列表（应该至少会有两个证书：一个是邮箱凭证证书，一个是刚申请的SSL证书）

6.3 点击SSL证书后的"Retrieve"下载证书压缩包。（压缩包里包含有NGINX在内的4种服务器SSL证书）

6.4 解压后，得到类似“1_api.abc.com_bundle.crt"文件。这就是SSL证书文件。建议改名为"api.abc.com.crt"

6.5 之前下载的密钥文件（一般为ssl.key)。建议改名为"api.abc.com.encrypted.key"

6.6 点击"Tool Box"下的"Decrypt Private Key"，可以将密钥文件转换为没密码密钥文件。

6.7 使用文本编辑，打开密钥文件，复制所有内容到“Enter Private Key And Password”输入框输内

6.8 在“passphrase”输入框中，输入密钥文件的密码。（生成密钥时设置的密码）

6.9 点击“Decrypt”，解密密码文件，得到一串字符串。（实际就是没密码密钥文件）

6.10 创建一个新的文件，建议命名为“api.abc.com.key”.

6.11 复制刚生成的字符串，保存到此文件。（即无密码密钥文件）

6.12 一般有配置HTTPS服务，需要上传证书文件以及无密码密钥即可。原始密钥和密码另外保存好.

7 证书续签

7.1 StartSSL免费SSL证书只有一年。免费到期前两周，系统会使用邮箱方式发送通知到凭证对应的邮箱，这时可以再免费续签。

7.2 登录后，点击"Tool Box" 下的“Cerificate List”，打开证书列表

7.3 即将到期的证书，会增加一个“Renew”续签选择框，点击后，操作步骤和申请基本一致。

7.4 续签后，参考初次申请取回证书，并更新到服务器上。