StartSSL用户认证使用的是Https客户端证书认证而非用户名/密码认证。因此第一步是申请StartSSL客户端证书。

（整个申请过程可参考链接：http://jeeker.net/article/apply-ssl-certificat-for-domain-from-startssl/）

1）  填写申请单，首页-sign up free 。注意邮箱必须真实，电话，地址等看上去像私人的而非公司的，必须使用英文填写。

2）  到邮箱接收邮件，填写认证码。

3）  等待审核，一般6小时内会审核完毕。到邮箱接收邮件，收到邮件后要在24小时内申请客户端证书。

4）  申请客户端证书。申请成功后，注意备份证书，在IE 选项—内容—证书—个人—导出窗口中。

在申请时需要注意的几个问题：

1）  StartSSL针对的是私人注册，而非组织认证，因此填写的地址信息，电话信息等应该是个人的。假的也要看起来像。

2）  StartSSL填写的都是英文信息，不要使用中文填写。

3）  收到邮件后，写入验证码，下一步，要注意时间限制，StartSSL用6个小时来完成申请审核。然后发送审核邮件到你的邮箱。此时，给你的申请客户端证书验证码只有24小时的时间有效性。也就是要在24小时内完成客户端申请。

1）进入Control Panel（可能需要点击Authenticate并使用上一步生成的证书才能看到图示的页面），选择Validations Wizard，类型选择Domain Name Validation。

2）输入域名。

3）选择一个有效的邮箱接收验证码，可以使用域名WHOIS中的邮箱或默认网站管理者邮箱（没有带域名的邮箱可选择使用网易免费企业邮等服务）。

4）收到邮件后，输入邮件中的验证码。

5）域名所有者验证成功。

在申请时需要注意的几个问题：

1）  域名是主域名。

2）  邮箱必须可用，并且应该随时接收。

1.选择Certificates Wizard进入SSL证书生成向导，证书目标选择Web Server SSL/TLS Certificate

2.输入10-32位密码生成秘钥。必须记住密码，不要忘记。

3.备份秘钥，将文本框内的内容保存成一个文本文件，如ssl.key。使用ansi方式保存。

4.选择上一步验证了的域名。

5.添加子域名。

6.确认域名子域名信息，准备生成证书。

7.备份生成的证书，将文本框内容保存成一个文本文件，如ssl.crt。使用ansi方式保存。在下面intermediate链接中下载中间证书sub.class1.server.ca.pem。 root证书ca.pem也要下载。

申请完成，下面是安装步骤。

第四步为apache的安装，必须解密私钥。

将StartSSL生成的证书应用到tomcat下很复杂，参考这篇文章（https://adaptivekanban.com/blog/2012/07/how-to-use-startssl-certificates-with-apache-tomcat/），或者我下面的说明都可以。

在使用证书证书之前还需要对生成的秘钥解密，可使用命令openssl rsa -in ssl.key -out ssl_decrypted.key，或者是StartSSL提供的工具: Tool Box - Decrypt Private Key，生成的内容另存为文件，如ssl_decrypted.key。

使用StartSSL的ToolBox --Create PKCS#12 (PFX) File .

其中Private Key:为解密的密钥文件。获取的文件名存为out.p12 .

利用java利用的keytool工具，在java安装目录中的bin目录下。

keytool.exe -importkeystore -deststorepass  changeit -destkeystore mykeystore.jks -srckeystore out.p12 -srcstoretype PKCS12 -srcstorepass changeit

StartSSL的ca证书在第三步的第7小步中已经下载。或者到StartSSL的ToolBox-- StartCom CA Certificates-- StarCom Root CA (PEM Encoded) 下载这个证书。

1级中级服务器在第三步的第7小步中已经下载。或者到StartSSL的ToolBox-- StartCom CA Certificates-- Class 1 Intermediate Server CA 下载这个证书

keytool.exe -import -alias startsslca -file ca.pem -keystore mykeystore.jks ；

keytool.exe -import -alias startsslca2 -file sub.class1.server.ca.pem -keystore mykeystore.jks ；

修改Tomcat目录下confg目录中的server.xml文件。放开一下内容

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               clientAuth="false" sslProtocol="TLS" 

               keystoreFile="D:\\apache-tomcat-7.0.16-account\\mykeystore.jks" keystorePass="changeit "/>

这样启动是一般会报apr错误。 

一般的处理方法是修改server.xml文件，屏蔽掉

<!--<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />-->    

想要更多解决方法的可以参考这篇文章（http://lixor.iteye.com/blog/1532655）

正常就可以启动ssl了。

参考这篇文章（http://blog.mowd.tw/index.php?pl=950）

如果使用的是加密的ssl.key 则每次启动apache时都要输入密码。（未测试）

在httpd.conf 中增加一下内容：注意ssl.key 是解密的。

 SSLCertificateFile /etc/pki/tls/certs/ssl.crt
SSLCertificateKeyFile /etc/pki/tls/private/ssl.key
SSLCertificateChainFile /etc/pki/tls/sub.class1.server.ca.pem
SSLCACertificateFile /etc/pki/tls/ca.pem