分享一个通配符的域名证书申请
如果你连30元都不舍得花,或你根本不在乎域名证书还有品牌这玩意,或你觉得3个月搞一下也没多费事,那么你可以后退了,下面的内容可能不适合你~还记得刚开始某大咖介绍说,GlobalSign的通配符证书,半年只要30元,因为是通配的我想这么便宜搞一个呗,结果申请下来发现是397天~到今天已安全的使用一年了,so觉得还是蛮实惠,so推荐给大家喽!
这个证书的使用有一定的门槛
首先,你要有域名邮箱且必须是admin@xxx.xx的。注意:后面再次出现xxx.xx的地方均代表你的域名。。。
其次,每个证书从安全的角度讲问题都不大,无非是通配的在使用上方便点,比如我们知道开启ssl后打开网址会明显变慢,正常情况下会多加300多毫秒左右,那么为了缩短一般都会做ocsp,或着你根本不想被抓包开启了双向验证,就能体现出通配证书的方便。。。
另外,开启ocsp会有一定的风险,比如你有个子域名是个隐私的,或者根本就是内部系统使用的,那么可能会存在域名泄漏问题,所以建议主域名开就好,或使用host访问。补全证书链的问题,这个需要手动配置,好在是中间证书时长很长。。。
好了如果你还是确定要用,下面就开始吧~
1.https://alphassl.libmk.com/ 去申请你域名的密钥,输入*.xxx.xx,选择rsa就行,csr是验证你域名的申请凭值,这个需要你记录下来,key就是你的证书私钥,也需要记录下来。
2.去一个叫萌咖杂货店的地方买个token,https://shop.moeclub.org/cart.php?gid=4,这里需要说明下这个玩意给我没半毛钱关系,虽然名字像个人的~
3.https://api.libmk.com/SSL,打开这个网址输入你的csr,token就是你在杂货店花30元购买到的token,点击“Get AlphaSSL!”,会往你的域名邮箱发一封验证邮件,复制验证地址在浏览器打开(注意复制完整哈),不一会就给把证书发给你,大概6小时会同步到中国数字证书CHINASSL,同时也会把完整的证书发给你。其实你可以不用等的。
4.把邮件发给你的证书复制下来(-----BEGIN CERTIFICATE-----开头到-----END CERTIFICATE-----结束部分,且包涵这2个玩意),用一个记事本就行,命名xxx_xx.crt并复制进去,然后把中间证书和根证书加在后面,依次追加哈
中间证书:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
根证书:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
所以crt是有三部分组成,即,你的域名证书,中间证书,根证书。然后和你第1步保存的key一起即组成了完整的证书。
我们拿nginx的配置来大概配置下,因为是通配符,所以你放一个固定目录就好了呀,比如/usr/ssl/xxx_xx_nginx/
那么ssl配置文件我们也可以配置一个统一的,所有server引用即可,假设我们在nginx的conf目录里新建了文件ssl_xxx_xx.conf,那么可能是这样配置的
ssl_certificate /usr/ssl/xxx_xx_nginx/xxx_xx.crt;
ssl_certificate_key /usr/ssl/xxx_xx_nginx/xxx_xx.key;
ssl_session_timeout 1d;
ssl_session_cache shared:MozSSL:10m;
ssl_session_tickets off;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
add_header 'X-XSS-Protection' '1; mode=block' always;
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /usr/ssl/xxx_xx_nginx/xxx_xx-chain.pem;
那么只要在各个server模板中引用它即可
include ssl_xxx_xx.conf;
好了我们来看下配置是否正确,当然记得重启nginx哦,推荐用火狐浏览器!大概的步骤,
首先打开域名,点击网址前锁的标识,大概的样子:
点击查看证书,进去看到了三个,大概就差不多了哦!
最后看下效果吧,a+还可以哦~
:ohh: 如果一年多了,那30肯定值,如果几个月的话,西部数据有1元体验,好像也是3个月 谢谢分享 通配在做垃圾站时方便很多 :ohh::ohh::ohh: 看起来蛮不错的啊 vixf 发表于 2023-12-25 18:59
如果一年多了,那30肯定值,如果几个月的话,西部数据有1元体验,好像也是3个月
397天:lol:
页:
[1]