陌涛一开始用的是腾讯云的TrustAsia 域名型SSL证书(DV)(1年),但是子域名比较多,所以放弃。转而使用时长为3个月的Let’s Encrypt。还可以通过宝塔自动续签,体验良好。不过这玩意有个缺点,就是你在CDN中的SSL证书要要两个月一换。
看到很多站点都用的是AlphaSSL换泛域名证书,但是发现很多免费接口不能用了,不过我们通过萌咖大佬的API接口还是可以申请,成本仅24.99元(接口TOKEN)
1、申请账号
打开萌咖 杂货店申请一个账号。网址如下:
2、准备
1)友好的域名邮箱([email protected])
如果你的站点是www.example.com,那么邮箱需要[email protected],比如:[email protected]
2)不友好的邮件服务商将会提示 “MX Record Not Allow.”
3)删除 CAA 记录, 否则可能会无法成功签发证书. (必须)
比如dnspod,如果有CAA记录,必须先删除。
4)暂停解析 CNAME 记录, 否则可能会无法收到证书确认邮件. (必须)
注意:
如果没有域名邮箱,可用临时邮箱
- 内置API邮箱 (推荐)
- 公开的临时邮箱平台
内置API邮箱使用方法
- 把 MX 记录解析至 api.moeclub.org 权重 10 (也可不必解析到这条链接)
- 只保留这一条 MX 记录
- 等待 MX 记录生效
解析到临时邮箱的方法个人不是很建议,有漏过邮件的可能性。配置好邮箱后请务必要先使用国内外邮箱测试是否可以正常接收邮件
3、准备CSR,并保存匹配的私钥
1)CSR在线工具:https://www.chinassl.net/ssltools/generator-csr.html
2)按提示填写好后点击生成按钮
3)生成完毕后有一个CSR文件和一个私钥文件,注意要下载保存好
4、购买AlphaSSL Apply Token
登录萌咖 杂货店点击购买,如图:
购买后在产品服务中找到token,复制保存备用。
5、申请证书
1)申请地址:https://api.moeclub.org/SSL
2)填入准备的CSR和Apply Token信息
3)点击 “Get AlphaSSL!”即可申请成功。
6、确认邮件
1)申请之后,会给你的[email protected]发送一份验证的邮件,打开之后点击 验证。
注:我的这个没格式了,链接在 If the link isn’t clickable, copy and paste the entire URL into your browser address bar. 到 Only if you approve the application will the SSL Certificate be issued. 之间!!!
2)验证成功,如图:
3)验证完成,证书邮件即会发送到你的邮箱。
打开邮件找到—–BEGIN CERTIFICATE—–开头的,一直复制到—–END CERTIFICATE—–结尾
7、生成中间证书以及根证书
有了中间证书和根证书所有的浏览器才不会拦截,没有的话手机浏览器可能会拦截
打开https://www.myssl.cn/tools/downloadchain.html把复制的内容粘贴到里面点击下一步
把中间证书文件和根证书文件下载下来
8、接下来就是合并证书
新建一个TXT文件内容为:
第一排:就是no_reply发送的邮件
—–BEGIN CERTIFICATE—–开头的,一直复制到
—–END CERTIFICATE—–结尾
第二排:中间证书
第三排:根证书
另存为xxx.crt文件
9、安装证书
1)既然证书已经签发,那么就开始安装证书,因为陌涛用的是宝塔,所以你只要把得到的key和crt复制进去即可。
密钥key:就是把刚刚在线CSR在线工具生成的key填入这里。
证书:邮箱里发送过来的证书,粘贴到这里,然后把csr粘贴到申请的证书下面。
2)可选的证书链可以不设置,保存后,我们即可看到效果,如图:
10、最后
1)证书申请以及安装成功后,如果你有使用cdn之类的cname解析,都可以恢复原状了。
2)确认链接有效期 30 天
3)由于与邮箱链接的不确定性, 邮箱可能在1秒或1个星期内才会收到确认邮件.请耐心等待(实测是秒收到邮件)
4)[email protected]这个顶级域名邮箱一定要设置好,不然收不到邮件。
5)apply token是要花钱的,24.99元,介意的不用去折腾了。
原创文章,作者:陌涛,如若转载,请注明出处:https://imotao.com/3661.html