泛域名 SSL 证书,就是含有通配符的域名 SSL 证书,如 *.kuoruan.com,本博客已经用上,效果点左上角的绿锁看证书详情,申请之后可用一年,不知道后续还能不能申请。
申请步骤
1.首先生成 csr
可以选择在线生成:https://www.digicert.com/easy-csr/openssl.htm
或者手动使用命令生成
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
# openssl req -new -nodes -keyout server.key -out server.csr Generating a 2048 bitRSAprivate key ...................+++ ..................+++ writingnew private keyto 'server.key' ----- Youareaboutto beaskedto enterinformationthatwillbeincorporated intoyourcertificaterequest. Whatyouareaboutto enteris whatis called a DistinguishedNameor a DN. Therearequite a fewfieldsbutyoucanleavesomeblank For somefieldstherewillbe a default value, If youenter '.', thefieldwillbeleftblank. ----- CountryName (2 lettercode) [AU]:CN Stateor ProvinceName (fullname) [Some-State]:Chongqing LocalityName (eg, city) []:Chongqing OrganizationName (eg, company) [InternetWidgitsPtyLtd]:Kuoruan OrganizationalUnitName (eg, section) []:ITDept. CommonName (e.g. serverFQDNor YOURname) []:*.kuoruan.com EmailAddress []: Pleaseenterthefollowing 'extra' attributes to besentwithyourcertificaterequest A challengepassword []: Anoptionalcompanyname []: |
Common Name 请填写泛域名。
2.申请证书
地址:https://assl.loovit.net/?a=add&pid=1
跟着步骤走,然后证书会发送到你的邮箱里边。剩下的就不写了。。。
Nginx 上安装证书可以看这篇文章:http://www.willrey.com/support/SSL_Nginx.html
信息来源:https://www.v2ex.com/t/270894
------------------------------------------------------------------------------------------------------------------------------------------------------------
免费ssl证书已经有很多选择,但是如果弄个泛域名证书是不是看起来更高大上。这里分享一个免费alphassl泛域名证书在线自助签发平台https://assl.loovit.net/需要的可以申请玩玩,原价要149刀呢。本人实测申请成功,免费1年,不过因为是野卡证书有被吊销的可能,因为不是正常途径买来的。PS:申请之前将域名隐私保护关闭先。
申请过程:打开页面填上CSR,证书接收邮箱等信息,这里需要注意的一点是CSR里域名那里一定要填*.cmsky.com这样的,要不然申请到的是单域名的。然后会让你选择用哪个域名管理员邮箱来接收验证地址。我选择的是[email protected]类似这样的。然后你就会在域名管理邮箱收到验证邮件,点击邮件里的验证链接,过一会应该就能在开始填的邮箱那收到证书的邮件了。
如果你不知道怎么生成CSR,可以使用在线工具https://csr.chinassl.net/generator-csr.html
源码:https://github.com/Vittfarne/ASSL
收到证书后如果某些手机浏览器提示有风险就将以下一段加到证书后面,补全证书链。谢谢476210180提醒
- -----BEGINCERTIFICATE-----
- MIIETTCCAzWgAwIBAgILBAAAAAABRE7wNjEwDQYJKoZIhvcNAQELBQAwVzELMAkGA1UEBhMCQkUx
- GTAXBgNVBAoTEEdsb2JhbFNpZ24gbnYtc2ExEDAOBgNVBAsTB1Jvb3QgQ0ExGzAZBgNVBAMTEkds
- b2JhbFNpZ24gUm9vdCBDQTAeFw0xNDAyMjAxMDAwMDBaFw0yNDAyMjAxMDAwMDBaMEwxCzAJBgNV
- BAYTAkJFMRkwFwYDVQQKExBHbG9iYWxTaWduIG52LXNhMSIwIAYDVQQDExlBbHBoYVNTTCBDQSAt
- IFNIQTI1NiAtIEcyMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA2gHs5OxzYPt+j2q3
- xhfjkmQy1KwA2aIPue3ua4qGypJn2XTXXUcCPI9A1p5tFM3D2ik5pw8FCmiiZhoexLKLdljlq10d
- j0CzOYvvHoN9ItDjqQAu7FPPYhmFRChMwCfLew7sEGQAEKQFzKByvkFsMVtI5LHsuSPrVU3QfWJK
- pbSlpFmFxSWRpv6mCZ8GEG2PgQxkQF5zAJrgLmWYVBAAcJjI4e00X9icxw3A1iNZRfz+VXqG7pRg
- IvGu0eZVRvaZxRsIdF+ssGSEj4k4HKGnkCFPAm694GFn1PhChw8K98kEbSqpL+9Cpd/do1PbmB6B
- +Zpye1reTz5/olig4hetZwIDAQABo4IBIzCCAR8wDgYDVR0PAQH/BAQDAgEGMBIGA1UdEwEB/wQI
- MAYBAf8CAQAwHQYDVR0OBBYEFPXN1TwIUPlqTzq3l9pWg+Zp0mj3MEUGA1UdIAQ+MDwwOgYEVR0g
- ADAyMDAGCCsGAQUFBwIBFiRodHRwczovL3d3dy5hbHBoYXNzbC5jb20vcmVwb3NpdG9yeS8wMwYD
- VR0fBCwwKjAooCagJIYiaHR0cDovL2NybC5nbG9iYWxzaWduLm5ldC9yb290LmNybDA9BggrBgEF
- BQcBAQQxMC8wLQYIKwYBBQUHMAGGIWh0dHA6Ly9vY3NwLmdsb2JhbHNpZ24uY29tL3Jvb3RyMTAf
- BgNVHSMEGDAWgBRge2YaRQ2XyolQL30EzTSo//z9SzANBgkqhkiG9w0BAQsFAAOCAQEAYEBoFkfn
- Fo3bXKFWKsv0XJuwHqJL9csCP/gLofKnQtS3TOvjZoDzJUN4LhsXVgdSGMvRqOzm+3M+pGKMgLTS
- xRJzo9P6Aji+Yz2EuJnB8br3n8NA0VgYU8Fi3a8YQn80TsVD1XGwMADH45CuP1eGl87qDBKOInDj
- ZqdUfy4oy9RU0LMeYmcI+Sfhy+NmuCQbiWqJRGXy2UzSWByMTsCVodTvZy84IOgu/5ZR8LrYPZJw
- R2UcnnNytGAMXOLRc3bgr07i5TelRS+KIz6HxzDmMTh89N1SyvNTBCVXVmaU6Avu5gMUTu79bZRk
- nl7OedSyps9AsUSoPocZXun4IRZZUw==
- -----ENDCERTIFICATE-----
------------------------------------------------------------------------------------------------------------------------------------------------------------
自从得知可以在 assl.loovit.net 申请到免费泛域名证书之后就一直想着把博客的 WoSign 证书换掉,毕竟部分 WoSign 的证书 Chrome 已经不再信任了,自己的博客从小绿锁变成大红叉看着很难受。但是按照流程申请之后发现根本收不到它的验证邮件,给官方的客服人员发了好多邮件,最终解决,在这里总结一下这些坑,分享出来,以后遇到也可以避免踩上。
准备域名邮箱和 CSR 文件
AlphaSSL 证书的申请,需要先提交域名的 CSR(证书请求文件),然后用域名邮箱作验证,保证你是这个域名的所有者。CSR 很好生成,可以用 openssl 在本地生成,也可以去各大工具网站在线生成,不再赘述。注意如果你想申请泛域名证书,生成 CSR 时域名应该是 *.your-domain.com, 而不是 your-domain.com。
注意保存好生成 CSR 文件时同时生成的 Key 文件,部署证书时要用
域名邮箱可以选择 QQ 域名邮箱,很简单方便,也有操作指南,设置好 MX 解析后用另一个邮箱给域名邮箱发一封邮件测试无误即可。目前 QQ 邮箱并没有屏蔽 AlphaSSL 发来的邮件,因此可以放心使用。必须使用下面的 用户名@域名 邮箱之一才能接收到验证邮件:
admin@your-domain.com
administrator@your-domain.com
hostmaster@your-domain.com
postmaster@your-domain.com
[email protected]域名的准备工作
这里坑很多,一个一个讲。
Email Address 的填写
申请证书的页面需要你填写一个 Email Address.
这里最好填写域名的联系人邮箱(在域名提供商那里可以查询得到的),这是接收证书的邮箱,非常关键。
关闭域名保护
最好关闭域名保护,开启域名保护可能会使 AlphaSSL 无法验证信息,导致无法签发
清除域名的 CNAME 记录
CNAME 记录开启,会导致 AlphaSSL 无法校验域名信息,根据官方人员给我的邮件,他们认为给根域名添加 CNAME 是一个错误的行为,具体原因参见
Why it's a bad idea to put a CNAME record on your root domain
保证网站可访问
这个坑官方人员一直没有说,所以我弄了很长时间死活收不到邮件,直到最后决定放弃,部署上了一张 Symantec 的单域名证书,证书生效的几乎同时我的邮箱就收到了 AlphaSSL 的验证邮件。
总结原因应该是我之前的证书失效可能导致了 AlphaSSL 的验证程序无法获取正确的域名解析信息。所以,要保证网站可以访问,即便是 http 不是 https 也可以。
收到邮件后的工作
同意申请链接只能点击一次
在域名邮箱收到验证邮件之后,点击 I Approve,AlphaSSL 便会把证书的 CRT 以邮件内容的形式发送给你,注意,I Approve 这个按钮只能点击一次,点击后不管有没有收到邮件,都会失效。因此接收证书的邮箱一定要填对,确保可以收到 CRT。
合并中级证书
由于 AlphaSSL 是中级证书商,因此需要把它的中级证书和签发给我的证书合并。
AlphaSSL 官方网站提供了他们的中级证书,注意有效期,最上面的那个是有效的,选择 【Valid until: 20 February 2024】的,内容如下:
-----BEGINCERTIFICATE-----
MIIETTCCAzWgAwIBAgILBAAAAAABRE7wNjEwDQYJKoZIhvcNAQELBQAwVzELMAkG
A1UEBhMCQkUxGTAXBgNVBAoTEEdsb2JhbFNpZ24gbnYtc2ExEDAOBgNVBAsTB1Jv
b3QgQ0ExGzAZBgNVBAMTEkdsb2JhbFNpZ24gUm9vdCBDQTAeFw0xNDAyMjAxMDAwMDBaFw0yNDAyMjAxMDAwMDBaMEwxCzAJBgNVBAYTAkJFMRkwFwYDVQQKExBHbG9i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BBYEFPXN1TwIUPlqTzq3l9pWg+Zp0mj3MEUGA1UdIAQ+MDwwOgYE
VR0gADAyMDAGCCsGAQUFBwIBFiRodHRwczovL3d3dy5hbHBoYXNzbC5jb20vcmVw
b3NpdG9yeS8wMwYDVR0fBCwwKjAooCagJIYiaHR0cDovL2NybC5nbG9iYWxzaWduLm5ldC9yb290LmNybDA9BggrBgEFBQcBAQQxMC8wLQYIKwYBBQUHMAGGIWh0dHA6
Ly9vY3NwLmdsb2JhbHNpZ24uY29tL3Jvb3RyMTAfBgNVHSMEGDAWgBRge2YaRQ2X
yolQL30EzTSo//z9SzANBgkqhkiG9w0BAQsFAAOCAQEAYEBoFkfnFo3bXKFWKsv0
XJuwHqJL9csCP/gLofKnQtS3TOvjZoDzJUN4LhsXVgdSGMvRqOzm+3M+pGKMgLTS
xRJzo9P6Aji+Yz2EuJnB8br3n8NA0VgYU8Fi3a8YQn80TsVD1XGwMADH45CuP1eG
l87qDBKOInDjZqdUfy4oy9RU0LMeYmcI+Sfhy+NmuCQbiWqJRGXy2UzSWByMTsCV
odTvZy84IOgu/5ZR8LrYPZJwR2UcnnNytGAMXOLRc3bgr07i5TelRS+KIz6HxzDm
MTh89N1SyvNTBCVXVmaU6Avu5gMUTu79bZRknl7OedSyps9AsUSoPocZXun4IRZZ
Uw==
-----END CERTIFICATE-----新建一个文本文件,把上面的内容粘贴进去,随后找到 globalsign.com 发来的邮件,在邮件的最后是你的证书,直接粘贴在上面内容的后面。然后把文本文件另存为后缀为 .crt 的证书文件,这个 CRT 文件就可以直接部署上服务器,不会因为证书链不完整而被浏览器报错了。
部署
上面的 key 文件 和 合并好的 CRT 文件部署上服务器就可以了。
------------------------------------------------------------------------------------------------------------------------------------------------------------
via。
https://blog.kuoruan.com/114.html
https://www.cmsky.com/free-alphassl/
https://segmentfault.com/a/1190000008881710
