野路子——仅30/年的AlphaSSL通配符证书
当自己有多个子域名需要用到ssl证书的时候,每次申请一年的免费证书(现在免费一年的也快没了)就很麻烦,且一年之后就需要一个一个来更新域名,如果使用通配符的证书,一个证书所有的子域名都可以通用,但通常情况下通配符证书价格上天,不是个人所能承受的,这里就介绍下一个野路子,上车请酌情考虑。
先来科普下什么是通配符证书,一般大家用的证书都是a.a.com这种每个域名一个证书,在腾讯云里面等等都可以签发一年免费的,这种最大的限制是a.a.com证书不能给b.a.com,后者只能自己再单独申请一个,对于只有一个或者几个网站/应用的来说,这并没有什么影响,一年之后手动更新下就行,但是如果网站比较多或者不想多次更新,可以用*.a.com这种通配符证书,这种可以给a.com这个域名下的所有子域名使用,使用起来更加方便,更新也不用每个去更换。
然后吐槽下目前免费证书的调整,以后基本上不会有一年免费的证书了,都在缩短有效时间,对于部分用nginx或者caddy等这种可以用自动程序更新免费证书,但是对于很多程序而言就不能这么操作,那就只能买证书了。
我知道会人要杠,不是有免费的let's encrypt这些都可以申请通配符证书吗,那我只能说如果你的网站/应用支持自动续签,那可以用,否则你就需要每三个月手动换一次(当然如果所有的服务都在一个服务器那这个也可以用自动化的程序所替代,在不同的服务器上这个就会变得很麻烦),及时换那也没问题;当然也有一些小的证书商会送一年的,但这种一个是活动短期,错过就没有,第二个是证书可能不会认,不是所有颁发的证书都会被所有的浏览器/设备认可,但这个是AlphaSSL,就不存在不被信任的问题;还会有人说cf的15年证书,那我建议仔细了解cf那个证书再来杠。
前排先提醒下,这路子野,有翻车风险,上车前谨慎购买,且购买后也无任何技术支持。
一、准备
1.先去萌咖的小店(https://shop.moeclub.org/aff.php?aff=522)购买个token,购买后token会发到邮箱。
2.准备一个自己的域名(废话,没域名要啥证书)
二、申请证书
这里打开网站(https://alphassl.libmk.com/)准备申请,先在生成csr中输入自己的域名,例如*.a.com,点击生成csr,复制key(私钥)这一栏中所有的文本到记事本并保存为xxxx.key。
注意,这里比如自己的域名是a.com,那一定要输入*.a.com,这里*代表通配符;并且生成后一定要保存key。
然后点击接收确认邮件方式,参照示例在自己的域名中添加一个解析,是只添加一个@.a.com的mx记录即可,如果有其他的记录先暂停下,等验证后再恢复,这里我以腾讯云为例,添加一个@mx记录就行,同时需要删除/暂停caa记录,添加后点击验证,验证通过就说明没有问题。
*.a.com --> MX 10 @ api.libmk.com
然后点击提交泛域名证书申请,输入购买的token,点击提交申请,再等待一段时间。
等待150秒后点击获取获取证书,并把获取到的文本保存为xxxx.pem
最后还可以下载证书,注意是一共两个文件(.key.pem为私钥,.crt.pem为证书),那为什么之前要手动保存呢?因为这个可能会出错,手动粘贴一次保险点。
到这里完整的证书就已经获取到了,30块一年值不值那就看个人,最后把证书添加到所需要的服务里面。
三、其他
1.这个证书有效期是1年,到期之后就需要重新按照上面的流程再重新签发并更新证书。
2.建议是多个服务分开部署(不在同一服务器上)、程序本身不好用nginx以及不能部署自动续签程序等情况下在购买这个通配符证书,不然还是免费的香,而且这个到期后还是需要自己手动购买更换,便利性上不如自动程序,自动续签通配符教程以后有机会出一期。
3.还是需要提醒下,这个有风险,购前需谨慎。