mark一下，关于Nginx + StartSSL Class1免费证书在Firefox中被提示未信任发行商的问题

rabbitclark · #1

最近搞了个便宜VPS玩，装起了Ubuntu 10.4 LTS + Nginx(with SSL) + php(cgi) + MySQL + StartSSL(Free Class1)，根据步骤申请完证书之后得到了ssl.crt和ssl.key，并修改nginx配置文件以开启SSL：

代码：全选

...
        ssl  on;
        ssl_certificate  /etc/nginx/ssl.crt;
        ssl_certificate_key  /etc/nginx/ssl.key;
...

然后测试，IE/Chrome地址栏均呈绿色（验证通过）
在Firefox中测试的时候，提示证书发行商不被信任，一开始以为是Firefox认证根证书的问题，就看了一下

代码：全选

工具-选项-高级-加密-查看证书

发现StartSSL根证书已经在Firefox证书信任列表里面

于是排错为ssl.crt中并不包含StartSSL CA的问题

解决办法：

从StartSSL官方服务器下载StartSSL CA证书和StartSSL Class1 CA证书，并与之前生成的ssl.crt合并：
mark一下，关于Nginx + StartSSL Class1免费证书在Firefox中被提示未信任发行商的问题

首先备份原始ssl.crt：

代码：全选

cp ssl.crt ssl.crt.crtonly

从StartSSL下载StartSSL CA证书：

代码：全选

wget http://cert.startssl.com/certs/ca.pem

从StartSSL下载StartSSL Class1 Sub CA证书：

代码：全选

wget http://cert.startssl.com/certs/sub.class1.server.ca.pem

然后把ca.pem/sub.class1.server.ca.pem/ssl.crt三个证书合并：

代码：全选

cat sub.class1.server.ca.pem >> ssl.crt
cat ca.pem >> ssl.crt

重启nginx：

代码：全选

service nginx restart

回到Firefox中，刷新，OK，收工，地址栏认证框为蓝色：