前面我申请了 Let's Encrypt 的免费 SSL 证书,一般来说够用了。但是,人总是喜欢尝试新的东西,前一阵子搞前后端分离,将前端项目和后端项目分开了,把后端项目独立成一个 api 接口,因为 Let's Encrypt 的免费证书只针对单域名(关于为什么不用多个单域名证书暂不展开),买泛域名证书又不划算,于是就开始申请 AlphaSSL 的免费泛域名证书。
一开始我也是找了很多网上的教程,大多讲的云里雾里,而且很多教程还会额外添加一些不必要的步骤(可能当时需要),我下面的步骤完全就是写这篇博文时操作的,也就是最新、最简单的步骤。
一、生成证书 CSR。
这里有两种方式 —— 第三方在线生成 和 服务器手动生成。
第三方生成
第三方没什么问题,简单易操作,就是要填写很多不必要的信息。这里列出一些在线工具:
手动生成
这里的手动生成需要登录到服务器,在服务器下执行。执行代码,这里有一个网址,可以在上面填写必要信息生成执行代码:https://www.digicert.com/easy-csr/openssl.htm
生成证书私钥 key:
openssl genrsa -out alpha_example_com.key 2048
生成证书 csr:
openssl req -new -key alpha_example_com.key -out alpha_example_com.csr
生成 csr 的过程中会要求填写一下信息(非全部必填):
// * 输入国家代码,中国填 CN,美国填 US,其他自行 google
Country Name (2 letter code) [AU]:
// * 省份,可选填,全称或者对应国家的省市代码
State or Province Name (full name) [Some-State]:
// 城市
Locality Name (eg, city) []:
// 组织机构(例如公司名)
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
// 机构部门(例如公司某部门)
Organizational Unit Name (eg, section) []:
// 域名(这里是关键,想要泛域名一定要用 * 通配符,例如 *.duan-ya.com)
Common Name (e.g. server FQDN or YOUR name) []:
// 邮箱
Email Address []:
// 证书密码,和 nginx、apache 加载证书有关,建议直接回车
A challenge password []:
// 额外的公司名称,建议直接回车
An optional company name []:
key 和 csr 会在当前目录下生成:
- alpha_example_com.key
- alpha_example_com.csr
二、证书签发
打开 https://assl.loovit.net/,将 alpha_example_com.csr 的内容全部复制进去;邮箱地址填接收签发证书的邮箱。点击 verify。
等几分钟后会出现下面画面,这是为了验证域名所属权,所以需要你的域名有邮箱服务(可以用 QQ 的域名邮箱)。
然后就是等,等到你的邮箱收到确认邮件,点击邮件中的链接,然后点击 I Approve。
然后继续等,等到收到证书签发邮件。如果你英文好,不用看下面了,直接按照邮件内容进行证书拼接;如果你看不懂英文,那就按我下面的操作吧。
打开邮件,你会在邮件最下方看到如下格式内容,复制出来另存为 alpha_example_com.crt文件:
-----BEGIN CERTIFICATE-----
xxxxxxxx
-----END CERTIFICATE-----
然后打开 https://www.alphassl.com/support/install-root-certificate.html ,找到最新的类似于你的 crt 内容的 alpha 根证书 crt,复制出来,粘贴到你刚才的 alpha_example_com.crt 后面,这样你的 crt 文件就制作完成。
最后
至此,你的泛域名证书已经制作完成,至于如何使用不在本博文范围之内。请妥善保管生成的三个文件,特别是 key 文件,这是你服务器的私钥,丢失了就找不回来了。
2018年1月24日更新
原来的申请地址已经不可用,新增可用地址:https://www.wn789.com/goto/fj9a(已失效)