最近续笔记购买了群晖的一款型号为 DS216+II 的 NAS 存储服务设备,正为域名证书的事情发愁之时通过『谷歌』这个活地图找到了一篇有关于免费申请泛域名证书的文章。打算试试水,居然成功申请了,因此决定把申请的过程记录下来,也许有部分朋友会有这个需要。

从渠道来看,毕竟免费获得的证书,所以是有可能证书会被撤销,但是根据其它网友的测试目前还是可以使用的,能免费多久就多久吧,也不要指望免费的东西永久,要不人家吃什么呢?

及时雨 | 免费申请 AlphaSSL 泛域名证书-续笔记自媒体

前期准备:

  • 准备一个域名,域名解析记录建议精简只留下 MX 和 A 记录为宜;
  • 绑定域名邮箱 admin@your-domain.com。用途:用于验证域名所有权;
  • 准备 CSR 文件,可在 CSR 文件生成工具 中生成;
  • AlphaSSL申请页面:点击进入

生成CSR文件

AlphaSSL 证书的申请,需要先提交域名的 CSR(证书请求文件),然后用域名邮箱作验证,保证你是这个域名的所有者。CSR 很好生成,可以去各大工具网站在线生成(这里我们使用网页工具在线生成)。

 及时雨 | 免费申请 AlphaSSL 泛域名证书-续笔记自媒体

一、特别需要注意的是,如果你想申请泛域名证书,生成 CSR 时域名应该是 *.your-domain.com, 而不是 your-domain.com。

二、注意保存好生成 CSR 文件时同时生成的 Key 文件,部署证书时要用。

申请AlphaSSL证书

根据表格、文本需要,填写我们获取到的 CSR文件,以及选项信息。点击"Verify"进行验证。

及时雨 | 免费申请 AlphaSSL 泛域名证书-续笔记自媒体

注意:申请证书的页面需要你填写一个 Email Address,这里最好填写域名的联系人邮箱(在域名提供商那里可以查询得到的),这是接收证书的邮箱,非常关键。

验证域名所有权

域名邮箱可以选择 QQ 域名邮箱,很简单方便,也有操作指南,设置好 MX 解析后用另一个邮箱给域名邮箱发一封邮件测试无误即可。目前 QQ 邮箱并没有屏蔽 AlphaSSL 发来的邮件,因此可以放心使用。必须选择下面的 用户名@域名 邮箱之一才能接收到验证邮件:

及时雨 | 免费申请 AlphaSSL 泛域名证书-续笔记自媒体

接下来就是等待域名邮箱接收新邮件,你将会收到一份包含验证链接的邮件,点击以验证域名所有权。

在域名邮箱收到验证邮件之后,点击 I Approve(如下图所示)AlphaSSL 便会把证书的 CRT 以邮件内容的形式发送给你,注意,I Approve 这个按钮只能点击一次,点击后不管有没有收到邮件,都会失效。因此接收证书的邮箱一定要填对,确保可以收到 CRT。

及时雨 | 免费申请 AlphaSSL 泛域名证书-续笔记自媒体

 

合并证书

由于 AlphaSSL 是中级证书商,因此需要把它的中级证书和签发给我的证书合并。

AlphaSSL 官方网站 提供了他们的中级证书,注意有效期,最上面的那个是有效的,选择『Valid until: 20 February 2024 』的,内容如下:

新建一个文本文件,先复制 globalsign.com 发来的邮件仅包含的 CRT 文本内容,粘贴在文本文件中。然后将上述官方提供的中级证书内容复制粘贴到文本内容的最后。

并将文本文件另存为后缀为 .crt 的证书文件,这个 CRT 文件就可以直接部署上服务器,不会因为证书链不完整而被浏览器报错了。

部署到服务器

将第一步生成的 key 文件 和 合并好的 CRT 文件部署上服务器就可以了。

 

其它内容

关闭域名保护

最好关闭域名保护,开启域名保护可能会使 AlphaSSL 无法验证信息,导致无法签发

清除域名的 CNAME 记录

CNAME 记录开启,会导致 AlphaSSL 无法校验域名信息,根据官方人员给我的邮件,他们认为给根域名添加 CNAME 是一个错误的行为,具体原因参见

Why it's a bad idea to put a CNAME record on your root domain

保证网站可访问

避免因网页无法访问所导致的 AlphaSSL 的验证程序无法获取正确的域名解析信息。因此,需要保证网站可以访问,即便是 http 不是 https 也可以。