一直使用的是宝塔免费版TrustAsia DV SSL CA ssl证书,但是由于子域比较多,提示免费申请达到已达到上限,急着开展业务ssl证书却下不来,很耽误时间。便有了用泛域名ssl证书的想法。

什么是ssl泛域名证书?

泛域名就是指可以保护一个域名以及该域名所有的二级或者三级子域名,不限制子域名数量,且添加新的子域名无须重新审核和另外付费,节约了大量的时间和金钱成本。比如一个*.zmki.cn泛域名证书可以在zmki.cn、a.zmki.cn、b.a.zmki.cn等所有zmki.cn域下使用。

AlphaSSL泛域名申请

第一步、注册域名邮箱(域名邮箱若不注册成功,后续步骤无法继续)

由于国内邮箱企业的MX解析记录被禁止。我们采用宝塔邮局的方式(亲测可用)

首先前往宝塔插件-找到宝塔邮局

WordPress免费申请 AlphaSSL泛域名证书-图文教程-钻芒博客

至于如何安装使用宝塔邮局插件,这里不再赘述。提供官方文档供大家参考:

安装好邮局之后添加admin@你的域名.XXX  邮箱用户,如图

WordPress免费申请 AlphaSSL泛域名证书-图文教程-钻芒博客

第二步、生成CSR文件

前往https://csr.chinassl.net/generator-csr.html,填上相关信息,

注意域名必须为*.zmki.cn的形式,点击生成,会生成CSR文件KEY文件

最后点击下载到本地保存,另外复制一下CSR文件,下一步需要用到;
#:这里一定要记得保存本次生成的KEY,,CSR和KEY文件随机生成,不提供找回服务。

WordPress免费申请 AlphaSSL泛域名证书-图文教程-钻芒博客

WordPress免费申请 AlphaSSL泛域名证书-图文教程-钻芒博客

第三步、需要验证域名所有权,获取证书

我们用ni-co大佬的,前往https://ssl.ni-co.moe/ssl/create/free.html,选择获取每日免费SSL,按提示填写,主要需要注意的就是填写接收邮箱和手机发送短信,还有需要梯子

WordPress免费申请 AlphaSSL泛域名证书-图文教程-钻芒博客

最后点执行,执行后会需要选择验证域名邮箱,选择admin@域名,很快会收到验证邮箱,然后打开验证邮件,访问验证链接,信息确认无误,点击I APPROVE,不久后就会收到邮件;

#这里可能会出现电脑打开点击提示系统错误(看文章最下边)

WordPress免费申请 AlphaSSL泛域名证书-图文教程-钻芒博客

WordPress免费申请 AlphaSSL泛域名证书-图文教程-钻芒博客

收到no_reply名称的邮件,打开可看到收到了crt证书,把

-----BEGIN CERTIFICATE-----(也包括我

-----END CERTIFICATE-----(也包括我

的字符串(在邮件的最后一段),全复制上;

第四步、为确保所有浏览器不拦截,需要生成中间证书和根证书

前往https://www.myssl.cn/tools/downloadchain.html——粘贴——下一步,点击下载中间证书根证书(root);

WordPress免费申请 AlphaSSL泛域名证书-图文教程-钻芒博客

WordPress免费申请 AlphaSSL泛域名证书-图文教程-钻芒博客

第五步、合并证书并保存

新建一个txt文件,按

  • no_reply的证书(就是第3步邮件里的那个证书)内容、
  • 中间证书内容(上一步生成的中间证书)、
  • 根(root)证书(上一步生成的根证书)

内容依次粘贴进去,最后保存为.crt文件,第一步key文件也保存为.key文件;(记得在用记事本txt新建!)

WordPress免费申请 AlphaSSL泛域名证书-图文教程-钻芒博客

第六步、部署证书
以宝塔为例,无需上传,直接复制key的进秘钥框,合并的证书复制到证书框,其他面板或者无面板则上传到FTP目录,网站的配置文件改下证书路径引用即可。

WordPress免费申请 AlphaSSL泛域名证书-图文教程-钻芒博客

WordPress免费申请 AlphaSSL泛域名证书-图文教程-钻芒博客

至此,一年的免费ssl泛域名证书申请成功

配置示例

ssl_certificate    /etc/letsencrypt/live/zmki.cn/fullchain.pem;    #crt文件路径
ssl_certificate_key    /etc/letsencrypt/live/zmki.cn/privkey.pem;  #key文件路径
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers "ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!DH:!DHE";
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
add_header Strict-Transport-Security max-age=63072000;

常见问题

  • 不要忘记保存第一步生成的key文件。
    CSR和KEY是独立相匹配的。CSR和KEY文件随机生成,不提供找回服务。
  • 无法发送短信
    我的iPhone发送确实是发不出去,换华为发送成功
    若无法发送短信,可换个手机尝试(或者换个运营商号码)
  • 申请完成未收到邮件
    存在延时,请耐心等待,一般半小时内就收到了
  • 宝塔邮局内收到的验证邮件无法打开,打开后提示系统内部错误
    这个只是我自己遇到了,你们会不会遇到还不清楚
    解决方法就是转发邮件,在手机上打开
  • 宝塔邮局收到的证书文件(no_reply的证书)格式乱了
    可以用手机上的邮箱登录,或者转发给qq邮箱在打开,这个是宝塔邮局的问题
  • 实在不能发短信或者不会申请但又非常想要的可以联系博主购买py码(免短信验证)
    或者由全程由博主代申请(付费服务)

相关链接: