TWCA 官網列出申請 SSL 憑證總共有 6 個步驟，接下來小蛙會著重在第 3 步：上傳 CSR (WEB) 以及第 6 步：安裝與設定 1.電子憑證 2.認證標章 (但不會使用認證標章)

申請 TWCA SSL 憑證：上傳 CSR (WEB)

產生主機 KEY 及 CSR 憑證請求檔

首先進到 /etc/ssl/ 產生金鑰 (private key)

cd /etc/ssl/
openssl genrsa -out server.key 2048

使用這把金鑰產生 CSR 憑證請求檔

openssl req -new -key ./server.key -out server.csr

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]: TW (國家縮寫)
State or Province Name (full name) [Some-State]:Taiwan (國家名稱全名)
Locality Name (eg, city) []:Taichung (城市名稱)
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Noter (公司名稱) 
Organizational Unit Name (eg, section) []:IT (部門名稱)
Common Name (e.g. server FQDN or YOUR name) []:noter.tw (網域名稱)
Email Address []:noter.tw@gmail.com (電子郵件)

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:Noter (選用的公司名稱)

2024-05-21 補充，因為每年都要產生一次，有時候忘記 CSR 要輸入的東西，就可以使用以下指令來看查看之前產生 CSR 時填入的資訊

openssl req -in example.csr -noout -text

上傳 CSR

經過上述步驟後，在 /etc/ssl/ 下會多出 server.key 及 server.csr，回到 TWCA 官網 第 3 點的描述

請將CSR檔案中的內容複製到下方的空欄中，注意複製的範圍應包括「—–BEGIN NEW CERTIFICATE REQUEST—–」到「—–END NEW CERTIFICATE REQUEST—–」的宣告文字。

透過 cat 印出剛剛產生的 CSR

cat server.csr

-----BEGIN CERTIFICATE REQUEST-----
...
...
...
-----END CERTIFICATE REQUEST-----

複製「—–BEGIN NEW CERTIFICATE REQUEST—–」到「—–END NEW CERTIFICATE REQUEST—–」範圍的文字，貼到 TWCA 官網中點擊繼續

確認紅框內的資訊後，輸入密碼、選擇驗證網域的方式、及表單編號

點擊繼續後即上傳完成

驗證網域所有權

小蛙這邊使用的是「網站檔案驗證」(上一步選擇的)，收到操作手冊與驗證檔

在網站根目錄建立對應的資料夾及 whois.txt 檔案，並將 email 附件中的 whois.txt 貼上，也可以直接把附件中的檔案解壓縮後，直接上傳到網站根目錄中。例如小蛙的網站根目錄是 /var/www/html/

mkdir -p /var/www/html/.well-known/pki-validation/
vim /var/www/html/.well-known/pki-validation/whois.txt

完成後確定從 email 給的連結可以看到剛剛的 whois.txt 檔案，即可與 TWCA 聯繫進行下一步。

安裝與設定 1.電子憑證 2.認證標章

等待 TWCA 審核完成後收到一封 email 及一個壓縮檔，解壓縮後包含我們前面產生的檔案，共有以下

1. server.key 伺服器金鑰
2. server.csr TWCA CSR 憑證申請檔
3. root.cer 根憑證
4. server.cer 伺服器憑證
5. uca.cer 中繼憑證

這邊會用到的為 1, 4, 5 三個檔案，如果收到的檔案是 uca_1.cer 跟 uca_2.cer，可先透過 cat uca_2.cer uca_1.cer > uca.cer 將檔案合併成一個。

以小蛙自己的環境 Apache2.4 為例，首先複製一份預設的檔案出來改

cp /etc/apache2/sites-available/000-default.conf /etc/apache2/sites-available/000-default-le-ssl.conf
vim /etc/apache2/sites-available/000-default-le-ssl.conf

<IfModule mod_ssl.c>
<VirtualHost *:443>
        ServerName 改成 TWCA 申請 SSL 的網址
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html/

        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined

        Include /etc/letsencrypt/options-ssl-apache.conf  # 這個是因為小蛙有使用 letsencrypt
        SSLCertificateFile /etc/ssl/server.cer            # 加上這個
        SSLCertificateKeyFile /etc/ssl/server.key         # 加上這個
        SSLCertificateChainFile /etc/ssl/uca.cer          # 加上這個
</VirtualHost>
</IfModule>

儲存後啟用該站點，檢查沒問題後重起 apache 就完成囉！

a2ensite 000-default-le-ssl.conf
apache2ctl configtest
Syntax OK
service apache2 graceful

增加安全性系列：

• 向 TWCA 申請 SSL 憑證 (Ubuntu, Apache)
• Ubuntu 16.04 升級 phpMyAdmin 並開啟二階段驗證( 2FA )
• Ubuntu 16.04 安裝 fail2ban

這篇文章 向 TWCA 申請 SSL 憑證 (Ubuntu, Apache) 最早出現於 記下來。

使用免費的 SSL 就要承受每三個月過期一次的麻煩，但是想想三個月過期一次就可以省一大筆錢，似乎又還蠻划算的～之前遇到很多種奇怪的狀況，這篇記錄一下第一次遇到這種 ACMEv1。

小蛙覺得奇怪，怎麼去年三月到現在已經正常運行那麼久了，卻在這時候突然失靈，輸入 certbot run 的指令後出現 ACMEv1 is deprecated and you can bla bla bla 通常附上的連結點過去都沒什麼結果，直接把相關問題丟 Google 比較實在。

經過一番查詢後才知道原來是 certbot 的版本更新了，原本使用的 ACMEv1 已經不能使用，好友網站是 Ubuntu 16.04 LTS，更新也很簡單

apt-get install --only-upgrade certbot

期間可能會連帶更新例如 python3 等相依的套件，等他跑完就完成了！

網站架設系列文章：

• 盤點那些曾經陪伴過小蛙的 VPS 虛擬主機
• 如何挑選 VPS + 最划算的買法
• 手把手教你如何購買 VPS
• 第一次買 KVM 虛擬主機
• 血的教訓 – HiFormance 跑路了 …
• 為自己申請一個域名 – HiNet 為例
• Cloudflare – 超強大的免費 CDN (?)
• 使用 Cloudflare 代管你的域名
• Ubuntu 16.04 設定環境語言編碼，讓中文可以正常顯示
• Ubuntu 16.04 安裝 fail2ban
• 一個腳本每天自動備份
• Linux tar 完整備份、增量備份及差異備份比較
• nginx + SSL Certificate – 讓 http 變身成為 https
• SSL For Free – 免費又有綠色鎖頭的 SSL Certificates
• Certbot 申請 SSL certificate 錯誤問題
• Certbot 錯誤：ACMEv1 is deprecated and you can …
• Ubuntu 18.04 安裝 AWStats 來統計網站流量
• PCHome 買網址續約流程

這篇文章 Certbot error: ACMEv1 is deprecated and you can … 最早出現於 記下來。

早期很多網站都是 http 的，到現在各家大廠的推波助瀾下，你沒有 https 就被當作是不合群的、有危險的、跟不上潮流的網站(?!)，總之當有人上你的網站，但你的網站沒有 https 的時候，各大瀏覽器就會很不客氣的提示：您與這個網站的連線不安全，有些人看到這些提示怕都怕死了根本不敢連～

小蛙這次要處理的系統是早期抓網站圖片的工具，由於是早期開發的，當時幾乎都是 http 為主的網站，這支程式也完全沒有考慮 https 的問題 (當時合作的單位完全沒有 https)，這一兩年來這個問題慢慢顯露出來，有些要抓的網站也在我們自己單位，因此可以透過一些特殊的方法來處理，但是今天遇到 … 要抓外面單位的網站，這 … 折騰了小蛙一整天啊。

小蛙給一個最簡單卻也是最困難的建議：更新到 JRE 1.8

小蛙試了超多網路上找到的方法，如果你已經在網路上找很久了，那小蛙用的方法你一定都試過，應該也都還是失敗 … (跟小蛙一樣)，最後決定直接安裝 JRE 1.8。來看一下這討人厭的錯誤訊息

Exception in thread "main" javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
     at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
     at sun.security.ssl.Alerts.getSSLException(Alerts.java:154)
     at sun.security.ssl.SSLSocketImpl.recvAlert(SSLSocketImpl.java:1959)
     at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1077)
     at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1312)
     at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1339)
     at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1323)
     at sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:563)
     at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:185)
     at sun.net.www.protocol.https.HttpsURLConnectionImpl.connect(HttpsURLConnectionImpl.java:153)
     at TESTSSL.downloadRemoteImage(TESTSSL.java:37)
     at TESTSSL.downloadRemoteImage(TESTSSL.java:53)
     at TESTSSL.main(TESTSSL.java:74)

直接看小蛙 Eclipse 的設定，Compiler 的地方使用 1.7

Java Build Path 也是使用 jdk 1.7.0_45

Run Configurations 的 JRE 設定也是選擇 jdk 1.7.0_45

執行下去就是這個錯誤 …

如果手動安裝了 JRE 8，然後把 Run Configurations 的 JRE 設定成 JRE 8

就打完收工了 … 真的是太敢動 (嗚嗚嗚)，原本小蛙一直想要在 1.7 的環境下想辦法處理，試了一大堆方法沒有一個可以動的，因為改來改去改到亂七八糟，就連把環境升上 1.8 也都還是不行 … 後來發現 Eclipse 執行的時候可以選擇運行環境，就決定專案的 Compiler 跟 Build Path 維持 1.7，Run Configurations 改成 JRE 1.8 … 不想繼續糾結下去 Orz … 但有一些 JSP 環境下沒辦法這樣處理的還是很頭大啊 ><

這篇文章 javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure 抗戰歷程 最早出現於 記下來。

Certbot 真的是個方便的東西，記得很久以前小蛙架部落格剛要轉 https 的時候，還要去 SSL for Free 網站手動申請及安裝(可參考這邊)，SSL for Free 的好處是申請 SSL 完全免費，但是有一個缺點是每三個月必須自己手動去更新(renew)，小蛙用了一段時間後發現，原來有 Certbot 這麼方便又好用的東西，之後有機會再來介紹這個，今天這篇只是要記錄使用 certbot 錯誤的解決方法。

是這樣的，在 Ubuntu 可以直接透過 certbot 申請 SSL 憑證，也包含了自動更新的功能，但是小蛙要申請一個新的網域的時候，卻發生了下列錯誤

root@lc:/home/sysadm# certbot certonly --apache
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Which names would you like to activate HTTPS for?
 
1: mydomain.com
 
Select the appropriate numbers separated by commas and/or spaces, or leave input blank to select all options shown (Enter 'c' to cancel): 1

Obtaining a new certificate
Performing the following challenges:
http-01 challenge for mydomain.com
Waiting for verification…
Cleaning up challenges
Failed authorization procedure. mydomain.com (http-01): urn:ietf:params:acme:error:unauthorized :: The client lacks sufficient authorization :: Invalid response from http://mydomain.com/.well-known/acme-challenge/xxxxxx [xxx.xxx.xxx.xxx]: "\n\n404 Not Found\n\n Not Found \n<p"
 IMPORTANT NOTES:
 The following errors were reported by the server:
 Domain: mydomain.com
 Type:   unauthorized
 Detail: Invalid response from
 http://mydomain.com/.well-known/acme-challenge/xxxx
 [xxx.xxx.xxx.xxx]: "\n\n404 Not Found\n\n Not Found \n<p"

To fix these errors, please make sure that your domain name was entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address.
Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. 

裡面看到幾個關鍵「Failed authorization procedure」、「unauthorized」、「Invalid response from」、「The client lacks sufficient authorization」

第一直覺是檔案連不到，但直接連 http://mydomain.com/.well-known/acme-challenge/xxxxxx 又沒有問題，看到朋友的主機有一堆奇怪的 site 設定檔，先清一清看看，嗯 ~ 好，沒有反應，錯誤還是存在。

一直發生上面的錯誤，不斷測試不斷重試，結果得到下面的錯誤 … (嗚嗚嗚)

root@lc:/etc/apache2/sites-enabled# certbot --apache

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Which names would you like to activate HTTPS for?
 
 1: mydomain.com
 
Select the appropriate numbers separated by commas and/or spaces, or leave input blank to select all options shown (Enter 'c' to cancel): 1

Obtaining a new certificate
An unexpected error occurred:
  There were too many requests of a given type :: Error creating new order :: too many failed authorizations recently: see https://letsencrypt.org/docs/rate-limits/
Please see the logfiles in /var/log/letsencrypt for more details.

進去錯誤訊息給的連結後，裡面有一段話寫著「我們還有網域驗證失敗限制，對於每個帳號每域名每小時 5 次的限制。在測試環境中並沒有那麼嚴格的限制，因此你可以使用測試環境來針對連線問題除錯。」

額外得知原來加了--dry-run就是測試環境，只會用來測試並不會真正儲存申請的憑證，而且限制比較沒那麼嚴格，如果是要測試為什麼申請失敗只要加上--dry-run，確定都沒有問題後才透過正式環境申請。小蛙這邊超過了每小時五次的限制，只能等到先用--dry-run來測試，等 unban 之後再到正式環境申請了。

經過重重困難後，決定一個參數一個參數試試看，於是試出了

root@lc:/var/www/html# certbot certonly --webroot -w /var/www/html/ -d mydomain.com
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for mydomain.com
Using the webroot path /var/www/html for all unmatched domains.
Waiting for verification…
Cleaning up challenges

IMPORTANT NOTES:
 Congratulations! Your certificate and chain have been saved at:
 /etc/letsencrypt/live/mydomain.com/fullchain.pem
 Your key file has been saved at:
 /etc/letsencrypt/live/mydomain.com/privkey.pem
 Your cert will expire on 2021-09-19. To obtain a new or tweaked
 version of this certificate in the future, simply run certbot
 again. To non-interactively renew all of your certificates, run
 "certbot renew"
 If you like Certbot, please consider supporting our work by:
 Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
 Donating to EFF: https://eff.org/donate-le 

終於，加上了--webroot -w /var/www/html/之後就成功了 ~ 看起來可能是.well-known/acme-challenge/xxxxxxx的預設路徑不知道為什麼不在目前使用的目錄，導致驗證的時候會抓不到產生的驗證檔案而噴錯，加入該設定之後就完成了，這篇文章留給有需要的朋友 ~

網站架設系列文章：

• 盤點那些曾經陪伴過小蛙的 VPS 虛擬主機
• 如何挑選 VPS + 最划算的買法
• 手把手教你如何購買 VPS
• 第一次買 KVM 虛擬主機
• 血的教訓 – HiFormance 跑路了 …
• 為自己申請一個域名 – HiNet 為例
• Cloudflare – 超強大的免費 CDN (?)
• 使用 Cloudflare 代管你的域名
• Ubuntu 16.04 設定環境語言編碼，讓中文可以正常顯示
• Ubuntu 16.04 安裝 fail2ban
• 一個腳本每天自動備份
• Linux tar 完整備份、增量備份及差異備份比較
• nginx + SSL Certificate – 讓 http 變身成為 https
• SSL For Free – 免費又有綠色鎖頭的 SSL Certificates
• Certbot 申請 SSL certificate 錯誤問題
• Certbot 錯誤：ACMEv1 is deprecated and you can …
• Ubuntu 18.04 安裝 AWStats 來統計網站流量
• PCHome 買網址續約流程

這篇文章 Certbot 申請 SSL certificate 錯誤問題 最早出現於 記下來。

一開始以為是之前搬伺服器的時候，Cloudflare 設定的問題，查了一段時間後發現連搜尋股票代號的功能都失效了，進資料庫看一下股票代號表，發現空白一片，此時大概知道問題出在哪裡。

把 crontab 裡更新股票代碼跟指數的 API 叫出來看一下發現「curl: server certificate verification failed.」這個錯誤，仔細看一下錯誤訊息裡面其實就有解決方法了，不過小蛙還是記錄一下備查。

curl: (60) server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
of Certificate Authority (CA) public keys (CA certs). If the default
bundle file isn't adequate, you can specify an alternate file
using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
the bundle, the certificate verification probably failed due to a
problem with the certificate (it might be expired, or the name might
not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
the -k (or --insecure) option.

有看到亮點了嗎？原本是 curl https://wxxxxxxx 改成 curl -k https://wxxxxxx 就可以忽略掉這個問題，但是同時也要注意存取目的的安全性喔！

這篇文章 Ubuntu 16.04 curl: Server Certificate Verification Failed. 最早出現於 記下來。

囉哩巴唆

小蛙剛接觸 nginx 的時候，真是吃盡了苦頭，雖然說功能非常強大，但是有些功能 google 了好久才勉強達到，這裡提供的一些作法也許不是最好，小蛙相信有更優雅的作法，不過至少能達成小蛙的需求，正所謂能解決問題的就是好方法！先達到功能，之後看到更好的作法再慢慢修正。

準備所需的 crt 及 key

把從 SSL For Free – 免費又有綠色鎖頭的 SSL Certificates 下載回來的 3 個檔案，分別是 ca_bundle.crt, certificate.crt, private.key，接下來我們要將 ca_bundle.crt 與 certificate.crt 合併，如果是用 windows 的話，用筆記本新增一個檔案叫做 bundle.crt，然後分別將 certificate.crt 跟 ca_bundle.crt 這兩個檔案的內容貼進 bundle.crt，要注意有沒有不小心複製到換行，或是空白字元，大概會變成下面這樣

-----BEGIN CERTIFICATE-----
...
certificate.crt 的內容
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
ca_bundle.crt 的內容
...
-----END CERTIFICATE-----

如果像小蛙一樣使用 Linux 的話，可直接輸入

>cat certificate.crt ca_bundle.crt >> bundle.crt
// 接著用編輯器把以下的魂結斷開
-----END CERTIFICATE----------BEGIN CERTIFICATE-----

魂結沒有斷開的話，會得到這個錯誤

[emerg] 20131#0: PEM_read_bio_X509_AUX("/etc/nginx/ssl/crazyall.net.crt") failed (SSL: error:0906D066:PEM routines:PEM_read_bio:bad end line)

以小蛙的 nginx 為例，為了不要放檔案太亂，小蛙另外建了 ssl 資料夾，該目錄為 /etc/nginx/ssl/，並且將 bundle.crt 更名為 crazyall.net.crt，private.key 也更名為 crazyall.net.key，如此一來如果有多個網域搭配多個 SSL 會比較方便管理，完成後將 crazyall.net.crt 及 crazyall.net.key 複製到 /etc/nginx/ssl/ 資料夾中。

將 SSL 加入 nginx

這裡記錄給自己看，預設的 nginx 檔案會包含一小段搭配載入 php5-fpm 的部份，例如：

location ~ \.php$ {
		fastcgi_split_path_info ^(.+\.php)(/.+)$;
		fastcgi_pass 127.0.0.1:9000;
		fastcgi_read_timeout 120;
		fastcgi_index index.php;
		include fastcgi_params;
}

如果只有一個網域或一個站，直接這樣就好，但是像小蛙有 crazyall.net 以及 wazai.net 兩個，這一段就會重複，這時候可以把上面的內容獨立成 php.conf 並放在 /etc/nginx/ 資料夾下，接著從 /etc/nginx/sites-avaibale/wazai.net 設定檔中 include php.conf; 就可以了。

wazai.net 的設定部份如下

server {
		listen 443 ssl default_server;	 	 
		listen [::]:443 ssl default_server;
		server_name wazai.net;
		ssl_certificate /etc/nginx/ssl/wazai.net.crt;	 	 
		ssl_certificate_key /etc/nginx/ssl/wazai.net.key;	 	 
		... 以下省略 ...	 	 
}

這裡如果把 crazyall.net 使用一樣的設定就會得到下列錯誤

[emerg] 20005#0: a duplicate default server for 0.0.0.0:443 in /etc/nginx/sites-enabled/wazai.net:58

因此如果同一台主機上有不只一個網域要使用 SSL，就要改成下面這樣，加了 default_server 就直接錯給你看

server {
		listen 443 ssl;
		server_name crazyall.net;
		ssl_certificate /etc/nginx/ssl/crazyall.net.crt;
		ssl_certificate_key /etc/nginx/ssl/crazyall.net.key;
		root /your_www_document;
		index index.php index.html index.htm;
		... 以下省略 ...
}

經過這些修改 service nginx reload 就可以正常執行囉！試試看 https://your_domain/，如果是用 WordPress 架站的話，還會有很多很多很多問題需要克服，使用 Chrome 的 consloe 可以看到滿山滿谷的

而且網站打開來之後慘不忍睹， 這也是小蛙為什麼當初卻步的原因，下一篇根據 google 來的資料一一修正這些問題。

參考資料

• Nginx SSL Certificate Installation

網站架設系列文章：

• 盤點那些曾經陪伴過小蛙的 VPS 虛擬主機
• 如何挑選 VPS + 最划算的買法
• 手把手教你如何購買 VPS
• 第一次買 KVM 虛擬主機
• 血的教訓 – HiFormance 跑路了 …
• 為自己申請一個域名 – HiNet 為例
• Cloudflare – 超強大的免費 CDN (?)
• 使用 Cloudflare 代管你的域名
• Ubuntu 16.04 設定環境語言編碼，讓中文可以正常顯示
• Ubuntu 16.04 安裝 fail2ban
• 一個腳本每天自動備份
• Linux tar 完整備份、增量備份及差異備份比較
• nginx + SSL Certificate – 讓 http 變身成為 https
• SSL For Free – 免費又有綠色鎖頭的 SSL Certificates
• Certbot 申請 SSL certificate 錯誤問題
• Certbot 錯誤：ACMEv1 is deprecated and you can …
• Ubuntu 18.04 安裝 AWStats 來統計網站流量
• PCHome 買網址續約流程

這篇文章 nginx + SSL Certificate – 讓 http 變身成為 https 最早出現於 記下來。

囉哩巴唆

Google 竟然把有 https 的網頁優先搜尋，看來加入 SSL 是勢在必行了，應該是因為跟 Google 自己後來想推的協定有關，不過看著 香腸炒魷魚、重灌狂人 … 等一些知名網站也都已經是 https 開頭的了，這個趨勢只能跟風了！來個維基百科解釋一下這到底是什麼碗糕：

傳輸層安全協議（英語：Transport Layer Security，縮寫：TLS），及其前身安全通訊協定（Secure Sockets Layer，縮寫：SSL）是一種安全協定，目的是為網際網路通訊，提供安全及資料完整性保障。from 傳輸層安全協議 – 維基百科
超文字傳輸安全協定（英語：Hypertext Transfer Protocol Secure，縮寫：HTTPS，也被稱為HTTP over TLS，HTTP over SSL或HTTP Secure）是一種網路安全傳輸協議。在計算機網路上，HTTPS經由超文字傳輸協定進行通訊，但利用SSL/TLS來對封包進行加密。HTTPS開發的主要目的，是提供對網路伺服器的身分認證，保護交換資料的隱私與完整性。 from 超文字傳輸安全協定 – 維基百科

好的，有看沒有懂或是覺得翻譯很奇怪，沒關係不重要，只要知道是對安全性有幫助的東西就好了！之前查了很多加入 SSL 的方法，以小蛙的智商實在是很難理解，也很佩服那些能做這些事情的人 >< 真正促使小蛙將蛙齋改成 https 是因為看到 SSL For Free 的使用方式真的很簡單，連小蛙這種系統白癡都可以順利完成，ㄟ … 好啦！在 nginx 設定上，還有一些觀念的理解上花了一些時間。

SSL For Free 申請

主要有幾個步驟：(過程可參考：SSL For Free 免費 SSL 憑證申請，使用 Let’s Encrypt 最簡單方法教學！)

• 在 SSL For Free 上註冊一個帳號。
• 在首頁輸入要申請的網域名稱。像小蛙要申請 crazyall.net 這個網域，系統會自動產生 www.crazyall.net 跟 crazyall.net 這兩個網域。
• 選擇「Manually Verify Domain」進行手動認證網域。
• 下載網頁給的兩個檔案，把它們放在你的網域目錄 /.well-known/acme-challenge/ 資料夾下，放好之後點選下面的連結，看看是不是能夠讀取到這兩個檔案，確定可以讀取之後才點選「Download SSL Certificate」，不然如果驗證失敗，系統會產生另外的兩個檔案，然後要一直重複步驟 2 ~ 4。
• 點選「Download All SSL Certificate Files」下載所有檔案並保存好。

到這邊就完成囉！nginx 設定部份請參考 nginx + SSL Certificate – 讓 http 變身成為 https。

參考資料

• SSL For Free
• SEO優化：Google 調整SEO演算法，優先搜尋HTTPS網頁
• SSL For Free – 免費又有綠色鎖頭的 SSL Certificates

網站架設系列文章：

• 盤點那些曾經陪伴過小蛙的 VPS 虛擬主機
• 如何挑選 VPS + 最划算的買法
• 手把手教你如何購買 VPS
• 第一次買 KVM 虛擬主機
• 血的教訓 – HiFormance 跑路了 …
• 為自己申請一個域名 – HiNet 為例
• Cloudflare – 超強大的免費 CDN (?)
• 使用 Cloudflare 代管你的域名
• Ubuntu 16.04 設定環境語言編碼，讓中文可以正常顯示
• Ubuntu 16.04 安裝 fail2ban
• 一個腳本每天自動備份
• Linux tar 完整備份、增量備份及差異備份比較
• nginx + SSL Certificate – 讓 http 變身成為 https
• SSL For Free – 免費又有綠色鎖頭的 SSL Certificates
• Certbot 申請 SSL certificate 錯誤問題
• Certbot 錯誤：ACMEv1 is deprecated and you can …
• Ubuntu 18.04 安裝 AWStats 來統計網站流量
• PCHome 買網址續約流程

這篇文章 SSL For Free – 免費又有綠色鎖頭的 SSL Certificates 最早出現於 記下來。