大鸟博客一开始用的是宝塔的TrustAsia 域名型SSL证书(D3)(1年),但是这个证书续期很灵异,所以放弃。转而使用时长为3个月的Let’s Encrypt。还可以通过宝塔自动续签,体验良好。不过这玩意有个缺点,当你在CDN中的SSL证书却是要两个月一换。
看到很多站点都用的是AlphaSSL换泛域名证书,但是发现很多免费接口不能用了,不过我们通过萌咖大佬的API接口还是可以申请,成本仅20多元(接口TOKEN)
1、申请账号
打开萌咖 杂货店申请一个账号。网址如下:
2、准备
1)友好的域名邮箱([email protected])
如果你的站点是www.example.com,那么邮箱需要[email protected],比如:[email protected]
这里可以看之前申请的免费企业邮箱申请教程。
2)不友好的邮件服务商将会提示 “MX Record Not Allow.”
3)删除 CAA 记录, 否则可能会无法成功签发证书. (必须)
比如dnspod,如果偶CAA记录,必须先删除。
4)暂停解析 CNAME 记录, 否则可能会无法收到证书确认邮件. (必须)
注意:
如果没有域名邮箱,可用临时邮箱
- 内置API邮箱 (推荐)
- 公开的临时邮箱平台
- 把 MX 记录解析至 api.moeclub.org 权重 10
- 只保留这一条 MX 记录
- 等待 MX 记录生效
解析到临时邮箱的方法个人不是很建议,有漏过邮件的可能性。配置好邮箱后请务必要先使用国内外邮箱测试是否可以正常接收邮件
3、准备CSR,并保存匹配的私钥
1)CSR在线工具:https://www.chinassl.net/ssltools/generator-csr.html
2)按提示填写好后点击生成按钮
3)生成完毕后有一个CSR文件和一个私钥文件,注意要下载保存好
4、购买AlphaSSL Apply Token
登录萌咖 杂货店点击购买,如图:
购买后在产品服务中找到token,复制保存备用。
5、申请证书
1)申请地址:https://api.moeclub.org/SSL
2)填入准备的CSR和Apply Token信息
3)点击 “Get AlphaSSL!”即可申请成功。
6、确认邮件
1)申请之后,会给力的[email protected]发送一份验证的邮件,打开之后点击 验证。
2)验证成功,如图:
3)验证完成,证书邮件即会发送到你的邮箱。
7、安装证书
1)既然证书已经签发,那么就开始安装证书,因为大鸟用的是宝塔,所以你只要把得到的密钥和证书复制进去即可。
密钥key:我们刚刚用的在线csr工具生成了csr和key,那么key就是填入这里的。
证书:邮箱里发送过来的证书,粘贴到这里。
2)补全证书链(可选)
以下内容可以选,可以不用看。
3)可选的证书链可以不设置,保存后,我们即可看到效果,如图:
8、最后
1)证书申请以及安装成功后,如果你有使用cdn之类的cname解析,都可以恢复原状了。
2)确认链接有效期 30 天
3)由于与邮箱链接的不确定性, 邮箱可能在1秒或1个星期内才会收到确认邮件.请耐心等待(实测是秒收到邮件)
4)[email protected]这个顶级域名邮箱一定要设置好,不然收不到邮件。
5)apply token是要花钱的,24.99元,介意的不用去折腾了。