架构师_程序员_码农网

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1494|回复: 3

30元购买最便宜的域名通配符 SSL 证书

[复制链接]
发表于 2023-3-4 22:26:31 | 显示全部楼层 |阅读模式
AlphaSSL证书是全球著名SSL证书颁发机构GlobalSign旗下的信息安全产品,是专业的SSL证书提供商,专业提供便宜SSL证书。

此外,AlphaSSL证书除了价格便宜之外,还带有兼容性强、强大的加密功能的优点。所有流行的浏览器和移动设备都可以识别AlphaSSL证书。AlphaSSL证书是从2048位的GlobalSign根证书颁发的,该证书是世界上运营时间最长,最受信任的权威之一,同时还将在客户和网站之间获得256位加密强度,这是当今使用率最高的加密强度。

本文使用 micromall.net 域名申请通配符为例。

申请前准备

  • 删除所有 CAA 解析记录或添加值为 0 issuewild "globalsign.com"的 CAA 解析记录,否则可能会无法成功签发证书. (必须)
  • 暂停解析 CNAME 记录, 否则可能会无法收到证书确认邮件. (必须)(如果为主域申请证书,只需要暂停主域的 CNAME 解析. 不需要暂停子域名的 CNAME 解析.)
  • 将 MX 记录解析至 api.moeclub.org 权重 10


如下图:

QQ截图20230304215506.jpg

准备域名的 CSR

生成地址:https://api.moeclub.org/SSL/CSR,保存生成好的内容,如下图:

https://www.chinassl.net/ssltools/generator-csr.html
https://www.sslaaa.com/tools/csr-generator
QQ截图20230304214455.jpg

购买 AlphaSSL Apply Token

地址:https://shop.moeclub.org/cart.php?gid=4,如下图:

QQ截图20230304214007.jpg QQ截图20230304214755.jpg

购买完成后,在管理产品中查看 Token 值,如下图:

QQ截图20230304215041.jpg

申请域名通配符 SSL 证书

地址:https://api.moeclub.org/SSL

填入准备的CSR和Apply Token信息, 点击 "Get AlphaSSL!",如下图:

QQ截图20230304215249.jpg QQ截图20230304215441.jpg

等待5分钟,使用 "MAIL" 控制命令确认邮件,重复点击会提示如下:

QQ截图20230304215659.jpg QQ截图20230304215826.jpg

等待10分钟左右,使用 "VIEW" 获取已补全证书链的证书内容,如下图:

QQ截图20230304220018.jpg QQ截图20230304220727.jpg

备注:通过 moeclub 获取的结果,已经帮我们补充了完整证书链。合规SSL证书路径组成:根证书、中间证书、服务器证书组成SSL证书。(证书链(certificate chain)可以有任意环节的长度:CA证书包括根CA证书、二级CA证书(中间证书)、三级证书.....(证书链越长,加载速度越慢,信任度越差))

将之前 CSR 的私钥保存为:micromall.net.key,然后通过 AlphaSSL 申请的证书保存为:micromall.net.pem 文件,如下图:

QQ截图20230304221907.jpg

使用 Nginx 通过 HTTPS 协议访问

本地下载了 nginx 服务,域名一些别名解析为:127.0.0.1,nginx 并进行简单的配置如下:

通过谷歌浏览器进行访问查看,如下图:

QQ截图20230304222213.jpg QQ截图20230304222200.jpg QQ截图20230304222259.jpg

教程参考:https://github.com/MoeClub/AlphaSSL

(完)





上一篇:IIS 500 错误之失败请求跟踪
下一篇:ASP.NET MVC 之 web.config 安全和性能优化
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
 楼主| 发表于 2023-3-4 22:30:17 | 显示全部楼层
科普: 什么是证书链?

证书包含的内容可以概述为三部分,用户的信息、用户的公钥、还有CA中心对该证书里面的信息的签名。我们在验证证书的有效性的时候,会逐级去寻找签发者的证书,直至根证书为结束,然后通过公钥一级一级验证数字签名的正确性

证书链(certificate chain)可以有任意环节的长度:CA证书包括根CA证书、二级CA证书(中间证书)、三级证书.....(证书链越长,加载速度越慢,信任度越差),以下是对证书链的图解:

QQ截图20230304222848.jpg



合规SSL证书路径组成:根证书、中间证书、服务器证书组成SSL证书。(如图)

QQ截图20230304222855.jpg

如果存在多个中间证书交叉链,会导致SSL证书文件变大,加载速度变慢,信任度降低,报错频率上升。

QQ截图20230304222902.jpg

这种证书需要补充完整证书链才可以信任。如果证书机构提供的证书在用户平台内置信任库中查询不到,且证书链中没有颁发机构,则证明该证书是不完整的证书。使用不完整的证书,当用户访问防护域名对应的浏览器时,因不受信任而不能正常访问防护域名对应的浏览器。



QQ截图20230304222923.jpg
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
 楼主| 发表于 2024-4-10 09:23:07 | 显示全部楼层
最新教程:https://alphassl.libmk.com/

如果遇到“Error: This domain has INVALID A record [*.itsvse.com]”问题,还需要将 A 记录为 69.175.0.0 (必须, 提交成功后可以立即改回, 主域名一般为@)

将 MX 记录解析至 api.libmk.com 权重 10
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
 楼主| 发表于 2024-7-10 16:44:20 | 显示全部楼层
OpenSSL 自签证书部署至 IIS 和 SLB
https://www.itsvse.com/thread-10034-1-1.html
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

免责声明:
码农网所发布的一切软件、编程资料或者文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:help@itsvse.com

QQ|手机版|小黑屋|架构师 ( 鲁ICP备14021824号-2 )|网站地图

GMT+8, 2024-7-21 16:36

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表