请注意,本文编写于 955 天前,最后修改于 274 天前,其中某些信息可能已经过时。
AlphaSSL 申请教程 [前往申请]
AlpahSSL 证书申请流程概要
确认拥有该域名的解析权或者 "admin@域名" 能够接收邮件
|
V
生成该域名的 CSR, 并保存好私钥
|
V
检查域名的 MX 解析, 并确认使用 8.8.8.8 能过获得正确解析记录
检查域名的 CAA 解析, 添加 0 issuewild "globalsign.com" 记录或暂停所有CAA解析
检查域名的 CNAME 解析, 如果有则暂停解析
/ \
内置API模式 / \
(无需邮箱,强烈推荐) / \ 自己使用 "admin@域名" 邮箱接收确认邮件
/ \
/ \
1. 将域名的 MX 记录解析到内置API \
"api.libmk.com" 权重 10 1. 提交 CSR 并等待邮件到达
等待解析生效并且稳定 2. 按邮件提示确认申请
2. 提交 CSR 并等待2分钟 3. 等待证书内容邮件到达
3. 【可选】使用 "MAIL" 控制命令 或者使用 "VIEW" 获取已补全证书链的证书内容
确认邮件并返回成功提示
4. 【可选】操作成功完成后即可改回解析
5. 使用 "VIEW" 获取已补全证书链的证书内容
申请前须知
- 将会使用
[email protected]接收确认邮件及证书. - 如遇到域名记录解析相关问题, 请检查域名注册商的
DNSSEC配置和域名解析提供商的DNSSEC配置是否同时开启或者同时关闭. - 删除所有 CAA 解析记录或添加值为
0 issuewild "globalsign.com"的 CAA 解析记录否则可能会无法成功签发证书. (必须) - 暂停解析 CNAME 记录, 否则可能会无法收到证书确认邮件. (必须)(如果为主域申请证书,只需要暂停主域的 CNAME 解析. 不需要暂停子域名的 CNAME 解析.)
- 如果没有域名邮箱, 可用
内置API邮箱完成.使用的是腾讯云(DNSPOD),阿里云等服务商提供的解析服务,请暂停该级域名一切解析并使用内置API邮箱完成签发. - AlphaSSL 支持
RSA和ECC(prime256v1,secp384r1)
准备CSR并保存匹配的私钥
- 域名:
*.domian.tld 自行准备CSR文件或使用在线工具生成创建私钥文件
server.key.pem- 新建空白文本文件(txt文档)
- 粘贴私钥内容到空白文本内并保存
- 将文件重命名为
server.key.pem得到私钥文件
创建证书文件
server.crt.pem- 新建空白文本文件(txt文档)
- 等待签发下来的证书并粘贴的证书内容
- 将文件重命名为
server.crt.pem得到证书文件
申请证书的步骤
- 注意: 如果使用
内置API邮箱,请先查看并完成内置API使用方法章节中的步骤. - 填入准备的CSR和Apply Token信息, 点击 "Get AlphaSSL!"
- 确认邮件 (手动点击收件箱中的邮件或者由内置API自动确认).
- 获得证书文件内容并填充证书文件.
- 将证书文件
(server.crt.pem)与私钥文件(server.key.pem)打包成一组.
内置API使用方法(强烈推荐,最快只需两分钟就可获得证书)
- 修改待申请证书的域名的 MX 记录(主域名一般为
@) - 将 MX 记录解析至
api.libmk.com权重10 - 如果有其他 MX 记录将其暂停, 只保留这一条 MX 记录
等待 MX 记录生效 (更改之前 TTL 设置的多少就等多少秒)
设置解析示例: MX(解析类型) 10(权重) @(主机名) api.libmk.com(目标值) *.abc.com --> MX 10 @ api.libmk.com *.sub.abc.com --> MX 10 sub api.libmk.com- 填入准备的CSR和Apply Token信息, 点击 "Get AlphaSSL!"
- 等待
2分钟 通过内置API获得证书
- 注意:此项步骤前需要确认邮件, 内置API模式会自动确认邮件.
- 在 Apply Token 框内填申请时的 Apply Token
- 点击 "View AlphaSSL!", 即可看到申请的证书(已补全证书链).
- 注意: 此项操作如果未查询到证书,将会自动重发确认邮件.
通过内置API邮箱手动确认邮件
- 在填 CSR 的框框内填上 "MAIL" (不包括引号,仅4个字母)
- Apply Token 框内填申请时的 Apply Token
- 点击 "Get AlphaSSL!", 即可看到提示.
- 注意: 内置API模式非特殊情况一般不需要进行此操作.
补全证书链(可选) [2027/10/12]
- 将下面字段
(中间证书)粘贴至证书文件(server.crt.pem)末尾即可
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE------ 将下面字段
(CA证书)粘贴至证书文件(server.crt.pem)末尾即可 (可选)
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----校验证书文件与密钥文件是否匹配
# 密钥文件 server.key.pem
# 证书文件 server.crt.pem
# 下面两行命令结果输出一致则为匹配的证书
openssl x509 -in server.crt.pem -pubkey -noout -outform pem |openssl md5
openssl pkey -in server.key.pem -pubout -outform pem |openssl md5
# 查看证书信息
openssl x509 -noout -text -in server.crt.pem
生成PFX格式证书
# 密钥文件 server.key.pem
# 证书文件 server.crt.pem
# PFX证书文件 server.pfx (默认密码为空)
openssl pkcs12 -export -passout pass: -in server.crt.pem -inkey server.key.pem -out server.pfx
检查 OCSP
# 中间证书 intermediate.pem
# 域名证书 server.crt.pem
openssl ocsp -text -no_nonce -url 'http://ocsp.globalsign.com/alphasslcasha256g4' -header 'HOST=ocsp.globalsign.com' -issuer intermediate.pem -cert server.crt.pem
注意事项
- 确认链接有效期 30 天
- 由于与邮箱链接的不确定性, 邮箱可能在1秒或1个星期内才会收到确认邮件.请耐心等待
- 由于
DNSPOD的解析是非标准实现,会优化一些基本特性.
如果您使用的是DNSPOD托管域名, 申请前请先暂停解析该级域名下的 CNAME, A, MX 记录. 然后使用内置API辅助签发.
建议更换至华为云DNS(无需实名,无需手机号)或其他标准实现的DNS解析. (DOSPOD收费的功能华为云DNS几乎白给,TTL最短可设置为1)
本文作者:Kazuha Hub
本文链接:https://kazuhahub.com/archives/219/
版权声明:本Blog所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。非商业转载及引用请注明出处(作者、原文链接),商业转载请联系作者获得授权。
