今天看到博友给自己的博客申请了个泛域名证书,还是一年的,瞬间勾起了我的兴趣。我上网上搜了一下这个证书,要申请下来还是需要一点技术的,不过也不是很难。以前使用的泛域名证书是JoySSL的,免费但是有效期只有三个月,我一般有服务过期前一个月就续费的习惯,所以JoySSL证书过期之前一个月我会尝试续期。但JoySSL证书本身不支持续签,所以只能重新申请一个,然后重新部署。使用泛域名证书的原因是我的二级域名太多了,每个二级域名都单独申请一个一年的太费事,而泛域名证书就可以很方便地解决这个问题。今天申请的这个泛域名证书还是很好地解决二级域名过多和证书有效期过短的问题,所以我很推荐今天这个泛域名证书。
这里的证书颁发商是AlphaSSL。AlphaSSL是著名数字证书认证机构和SSL证书签发商 GlobalSign 旗下的证书品牌。(至于 GlobalSign 有多著名... 简单说 Google,Baidu 等网站使用的都是其颁发的SSL证书)而在 AlphaSSL 官方网站 上,其通配符证书售价达到了150美元(约合人民币951元)。
既然 AlphaSSL 证书也是天价(但比其他便宜超多),那么我们该如何白嫖呢?这时,让我们有请另一个狠角色:INAP(原 SingleHop)。INAP,LLC是位于美国伊利诺伊州芝加哥市的美国IT托管公司和服务提供商。该公司在芝加哥,亚利桑那州和荷兰设有数据中心。简单来说就是一个卖VPS的公司,和其他VPS提供商一样,INAP也为其用户提供免费SSL证书,但是相比其他商家提供的Let's Encrypt,INAP提供的是一年免费通配符泛域名DV SSL证书,由AlphaSSL签发。遗憾的是,INAP并不开放注册(仅对大客户开放),而其VPS价格也十分惊人(且不公开),但仍有不少拥有账号的好心人愿意开放其账号的API让大家来注册SSL,这也就是我们能够白嫖 AlphaSSL 证书的原因。而这里还要使用到的一款API——萌咖。萌咖提供了利用域名生成的私钥文件向证书颁发商索要一个Token,然后使用这个Token和私钥文件再生成一条证书链,再拼接这两个证书链即可。这些过程直接使用萌咖的API即可,无需访问AlphaSSL官网办理,非常方便。
本站目前使用的泛域名证书目前我的所有站点都配置了这个证书,可以看到,它是泛域名证书,且有效期是一年(实际上还多送了一个月)。
下面介绍如何申请这个证书。
准备
要申请这个证书,首先准备以下东西:admin域名邮箱(如本站的为admin@qi1.zone),支付宝30块钱。
注册企业微信
由于本站域名托管在腾讯云,所以这里演示如何申请腾讯的域名邮箱。
首先注册企业微信。访问https://work.weixin.qq.com/wework_admin/register_wx后,按要求填写信息,这里企业名称随意填写即可,填写后状态只是未认证,虽然不能使用全部功能但企业邮箱依然可以使用。
注册企业微信注册企业微信后,在手机上下载【企业微信】APP,使用手机的微信登录后,在电脑上访问https://work.weixin.qq.com/后,使用企业微信扫码登录。
添加成员
若你的企业微信成员列表数量为0,如下图,则你需要添加一位成员。一般来说,添加自己即可。
企业微信成员数量为0点击【通讯录】 - 【添加成员】,输入信息后添加,然后跟随企业微信的指引验证成员即可。由于我很久以前已经注册过企业微信,且已经添加了我自己为成员,因此这里不再演示。按照提示操作即可。
添加成员为企业微信配置域名
在企业邮箱管理面板内,点击【协作】 - 【邮箱】 - 【概况】 - 【邮箱域名】 - 【管理】,点击【添加域名】。这里由于我已经添加了域名,且一个企业微信账号只能绑定一个域名,所以下方的界面我无法引导你,请自行探索。在配置域名的过程中,需要配置一些MX解析。若你使用的是腾讯云,则你可以在DNSPod快速添加MX记录。
快速添加MX解析
添加MX解析添加解析之后,回到企业微信域名配置这里,等大概一个小时左右,会显示这样,没有【配置中】字样。
为企业邮箱添加域名添加企业邮箱
配置完成后,就可以添加一个企业邮箱了。点击【协作】 - 【邮箱】 - 【邮箱管理】 - 【公共邮箱】 - 【前往】。
管理公共邮箱点击【添加邮箱】。在下方页面中地址填【admin】,在使用成员中添加上方配置的成员。
添加域名邮箱在添加了域名邮箱后就可以尝试登录这个域名邮箱收发邮件了。访问https://exmail.qq.com/后,使用企业微信扫码,就可以像使用电脑端的QQ邮箱那样收发邮件了,可以给自己的其他邮箱发送个邮件试试。
验证域名邮箱是否可用生成CSR验证文件
访问https://api.moeclub.org/SSL/CSR,输入你的泛域名,生成私钥和CSR。生成后请保存下来。
生成CSR验证文件复制CSR验证文件,备用。
购买Token
访问https://shop.moeclub.org/cart.php?gid=4,点击【立即订购】 - 【结账】,填写你的个人信息,邮箱要写能接收邮件的,填你的常用邮箱,可不用admin域名邮箱。然后点击【完成订购】。扫码完成购买。
购买Token访问https://shop.moeclub.org/clientarea.php,点击【您已激活的产品/服务】右方的【查看全部】,点击刚买的订单,可以看到生成的Token。
生成的Token使用Token生成证书链
访问https://api.moeclub.org/SSL,第一框(-----BEGIN CERTIFICATE REQUESTS-----)填写刚刚复制的CSR验证文件,下方填写你的Token,点击【GET AlPhaSSL】。
然后回到企业邮箱,可以看到AlPhaSSL发送了一个验证邮件。
Order ID CEDX231118003385 AlphaSSL - Approve SSL Application
An application for a SSL Certificate has been placed with AlphaSSL for *.qi1.zone and Order ID CEDX231118003385...
验证邮件点击里面的验证链接完成验证。
完成验证后,AlphaSSL会给我们发送第二封邮件。
含有PEM的文件这里面包含了证书链的PEM格式的内容。
前面再拼接上AlphaSSL的中间证书,即将中间证书放在邮件中PEM部分的前面,私钥文件和PEM文件我们就都有了。
txt 代码:-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE--
MIIEijCCA3KgAwIBAgIQfU1CqStDHX5kU+fBmo1YdzANBgkqhkiG9w0BAQsFADBX MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIyMTAx MjAzNDk0M1oXDTI3MTAxMjAwMDAwMFowTDELMAkGA1UEBhMCQkUxGTAXBgNVBAoT EEdsb2JhbFNpZ24gbnYtc2ExIjAgBgNVBAMTGUFscGhhU1NMIENBIC0gU0hBMjU2 IC0gRzQwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCtJCmVZhWIPzOH A3jP1QwkuDFT8/+DImyZlSt85UpZwq7G0Sqd+n8gLlHIZypQkad5VkT7OLU+MI78 lC7LVwxpU19ExlaWL67ANyWG8XHx3AJFQoZhuDbvUeNzRQyQs6XS5wN6uDlF0Bf1 AtCUQWrGGLGYwyC1xTrzgrFKpESsIXMqklUGTsh8i7DKZhRUVfgrPLJUkbbLUrLY 42+KRCiwfSvBloC5PgDYnj3oMZ1aTe3Wfk3l1I4D3RKaJ4PU1qHXhHJOge2bjGIG l6MsaBN+BB2sr6EnxX0xnMIbew2oIfOFoLqs47vh/GH4JN0qql2WBHfDPVDm3b+G QxY6N/LXAgMBAAGjggFbMIIBVzAOBgNVHQ8BAf8EBAMCAYYwHQYDVR0lBBYwFAYI KwYBBQUHAwEGCCsGAQUFBwMCMBIGA1UdEwEB/wQIMAYBAf8CAQAwHQYDVR0OBBYE FE/LrKjC76vdg29rv86YPVxYJXYVMB8GA1UdIwQYMBaAFGB7ZhpFDZfKiVAvfQTN NKj//P1LMHoGCCsGAQUFBwEBBG4wbDAtBggrBgEFBQcwAYYhaHR0cDovL29jc3Au Z2xvYmFsc2lnbi5jb20vcm9vdHIxMDsGCCsGAQUFBzAChi9odHRwOi8vc2VjdXJl Lmdsb2JhbHNpZ24uY29tL2NhY2VydC9yb290LXIxLmNydDAzBgNVHR8ELDAqMCig JqAkhiJodHRwOi8vY3JsLmdsb2JhbHNpZ24uY29tL3Jvb3QuY3JsMCEGA1UdIAQa MBgwCAYGZ4EMAQIBMAwGCisGAQQBoDIKAQMwDQYJKoZIhvcNAQELBQADggEBABol 9nNkiECpWQenQ7oVP1FhvRX/LWTdzXpdMmp/SELnEJhoOe+366E0dt8tWGg+ezAc DPeGYPmp83nAVLeDpji7Nqu8ldB8+G/B6U9GB8i2DDIAqSsFEvcMbWb5gZ2/DmRN cifGi9FKAuFu2wyft4s4DHwzL2CJ2zjMlUOM3RaE1cxuOs+Om6MCD9G7vnkAtSiC /OOfHO902f4yI2a48K+gKaAf3lISFXjd32pwQ21LpM3ueIGydaJ+1/z8nv+C7SUT 5bHoz7cYU27LUvh1n2WSNnC6/QwFSoP6gNKa4POO/oO13xjhrLRHJ/04cKMbRALt JWQkPacJ8SJVhB2R7BI=
-----END CERTIFICATE----- 比如上方的中间证书是a,邮件里发来的pem是b,那么顺序就是a在上一行,b在下一行。
配置
最后就可以在宝塔面板、CDN处配置证书了。这里提示一下,最好将私钥文件和pem文件保存起来,丢失了多半是没有办法找回的,因为萌咖的API每次生成的CSR和密钥貌似都是随机的。
配置证书若你的浏览器显示的证书还是旧的,就是缓存的事,清空CDN、浏览器缓存等即可。
补充:博客邮件通知使用域名邮箱
在申请了AlphaSSL后,我还使用腾讯企业邮箱将博客的邮件通知邮箱从foxmail改成了域名邮箱。
博客邮件通知使用域名邮箱首先,还是先添加一个域名邮箱,或者使用admin邮箱。
然后为这个域名邮箱生成一个密码。在域名邮箱列表后点击【密码】,然后点击生成,可以获取域名邮箱的密码。这个密码是一次性的,忘记需要重新生成。
生成域名邮箱密码然后在博客邮件通知插件填写必要的字段即可。其中,stmp服务器填【smtp.exmail.qq.com】,端口填465。
然后你就可以试试新配置的域名邮箱是否有效了。
现在腾讯企业邮给多大容量,实不相瞒我才1G
我现在主要用QQ邮箱和谷歌邮箱,这个邮箱就是验证域名所有权用的,不会收发邮件。
暂无点赞
暂无点赞
学习到了!
杜老师说的证书也要过期了,记得及时续签啊。
暂无点赞
暂无点赞
我一直用的是宝塔面板免费的Let's Encrypt的R3牌子的泛域名证书哈哈
那也挺好哈,Let's Encrypt的好像可以自动续签的,也能省不少事。
暂无点赞
暂无点赞
话说你们的单域名证书都是在哪免费申请的呀,腾讯和阿里吗
每个云服务商都会提供一定额度的证书,比如腾讯云现在是共50个证书,好像其中30个可以部署有在腾讯云托管的域名,20个部署在没有在腾讯云托管的域名,这些都是单域名,再比如JoySSL,额度理论上不限,可以申请一年的单域名证书或三个月的泛域名或多域名证书。
暂无点赞
1
我想问下主域名和子域名是不是不能同时用一个通配符证书啊?
我的主域名非www的站点引用了来自于子域名img.站点的图片,结果主域名能打开,子域名的图片就打不开了,而且直接打开子域名会重定向到主域名网站,有时候还相反的效果。
顶级域名和子域名(包括www)都可以用*的泛域名证书啊,我的主页qi1.zone,www.qi1.zone和blog.qi1.zone用的都是同一个泛域名证书,至于重定向,那应该不是证书的问题,建议从其他地方排查一下。
暂无点赞
暂无点赞
用的ohttps,同样泛域名证书只有三个月,自动更新部署很便宜,手动的话免费,复制粘贴一下就行。
自动更新那还是很香的。
暂无点赞
暂无点赞
牛 收藏了 谢谢好兄弟的分享 😘
感谢支持 😁
暂无点赞
暂无点赞
我主打一个免费,用的单域名证书
我二级域名太多了,每次都单独申请真的很浪费时间。只有一个域名那单域名证书足够了。
暂无点赞
暂无点赞
我记得腾讯云也可以申请一年的吧
不清楚,腾讯云好像只能申请一年的单域名证书,不是泛域名
暂无点赞
1
我用的cf自带的
cf的确实方便,好像还可以自动续签吧
暂无点赞
暂无点赞
通配符证书确实方便很多~~
是啊,能省下不少事情。
暂无点赞
暂无点赞