30元购买最便宜的域名通配符 SSL 证书

小渣渣

AlphaSSL证书是全球著名SSL证书颁发机构GlobalSign旗下的信息安全产品，是专业的SSL证书提供商，专业提供便宜SSL证书。

此外，AlphaSSL证书除了价格便宜之外，还带有兼容性强、强大的加密功能的优点。所有流行的浏览器和移动设备都可以识别AlphaSSL证书。AlphaSSL证书是从2048位的GlobalSign根证书颁发的，该证书是世界上运营时间最长，最受信任的权威之一，同时还将在客户和网站之间获得256位加密强度，这是当今使用率最高的加密强度。

本文使用 micromall.net 域名申请通配符为例。

申请前准备

• 删除所有 CAA 解析记录或添加值为 0 issuewild "globalsign.com"的 CAA 解析记录，否则可能会无法成功签发证书. (必须)
• 暂停解析 CNAME 记录, 否则可能会无法收到证书确认邮件. (必须)(如果为主域申请证书,只需要暂停主域的 CNAME 解析. 不需要暂停子域名的 CNAME 解析.)
• 将 MX 记录解析至 api.moeclub.org 权重 10
  

如下图：



准备域名的 CSR

生成地址：https://api.moeclub.org/SSL/CSR，保存生成好的内容，如下图：

https://www.chinassl.net/ssltools/generator-csr.html
https://www.sslaaa.com/tools/csr-generator

购买 AlphaSSL Apply Token

地址：https://shop.moeclub.org/cart.php?gid=4，如下图：



购买完成后，在管理产品中查看 Token 值，如下图：



申请域名通配符 SSL 证书

地址：https://api.moeclub.org/SSL

填入准备的CSR和Apply Token信息, 点击 "Get AlphaSSL!"，如下图：



等待5分钟，使用 "MAIL" 控制命令确认邮件，重复点击会提示如下：



等待10分钟左右，使用 "VIEW" 获取已补全证书链的证书内容，如下图：



备注：通过 moeclub 获取的结果，已经帮我们补充了完整证书链。合规SSL证书路径组成：根证书、中间证书、服务器证书组成SSL证书。（证书链(certificate chain)可以有任意环节的长度：CA证书包括根CA证书、二级CA证书（中间证书）、三级证书.....（证书链越长，加载速度越慢，信任度越差））

将之前 CSR 的私钥保存为：micromall.net.key，然后通过 AlphaSSL 申请的证书保存为：micromall.net.pem 文件，如下图：



使用 Nginx 通过 HTTPS 协议访问

本地下载了 nginx 服务，域名一些别名解析为：127.0.0.1，nginx 并进行简单的配置如下：

登录可见。

通过谷歌浏览器进行访问查看，如下图：



教程参考：https://github.com/MoeClub/AlphaSSL

（完）

小渣渣

科普: 什么是证书链?

证书包含的内容可以概述为三部分，用户的信息、用户的公钥、还有CA中心对该证书里面的信息的签名。我们在验证证书的有效性的时候，会逐级去寻找签发者的证书，直至根证书为结束，然后通过公钥一级一级验证数字签名的正确性

证书链(certificate chain)可以有任意环节的长度：CA证书包括根CA证书、二级CA证书（中间证书）、三级证书.....（证书链越长，加载速度越慢，信任度越差），以下是对证书链的图解：





合规SSL证书路径组成：根证书、中间证书、服务器证书组成SSL证书。（如图）



如果存在多个中间证书交叉链，会导致SSL证书文件变大，加载速度变慢，信任度降低，报错频率上升。



这种证书需要补充完整证书链才可以信任。如果证书机构提供的证书在用户平台内置信任库中查询不到，且证书链中没有颁发机构，则证明该证书是不完整的证书。使用不完整的证书，当用户访问防护域名对应的浏览器时，因不受信任而不能正常访问防护域名对应的浏览器。

小渣渣

最新教程：https://alphassl.libmk.com/

如果遇到“Error: This domain has INVALID A record [*.itsvse.com]”问题，还需要将 A 记录为 69.175.0.0 (必须, 提交成功后可以立即改回, 主域名一般为@)。

将 MX 记录解析至 api.libmk.com 权重 10