百独托管7500 紫田网络超高转化播放器收cps[推荐]速盾CDN 免实名免备防屏蔽阿里云 爆款特卖9.9元封顶提升alexa、IP流量7Q5团队
【腾讯云】中小企福利专场【腾讯云】多款产品1折起高防 随时退换 好耶数据小飞国外网赚带你月入万元炎黄网络4H4G10M 99每月
香港带宽CN2/美国站群优惠中客数据中心 服务器租用联盟系统移动广告平台 中易企业专场腾讯云服务器2.5折九九数据 工信部正规资质
腾讯云新用户大礼包代金券高价收cpa注册量高价展示【腾讯云】2核2G/9.93起租服务器找45互联 随时退换阿里云 短信服务 验证秒达

[技术交流] 分享一个通配符的域名证书申请 [复制链接]
查看:360 | 回复:7

110

主题

4565

帖子

2928

积分

落伍者(两全齐美)

Rank: 2

贡献
1269
鲜花
13
注册时间
2006-6-13

落伍手机绑定

发表于 2023-12-25 18:02:54 | 显示全部楼层 |阅读模式 来自 中国广东广州
如果你连30元都不舍得花,或你根本不在乎域名证书还有品牌这玩意,或你觉得3个月搞一下也没多费事,那么你可以后退了,下面的内容可能不适合你~
还记得刚开始某大咖介绍说,GlobalSign的通配符证书,半年只要30元,因为是通配的我想这么便宜搞一个呗,结果申请下来发现是397天~到今天已安全的使用一年了,so觉得还是蛮实惠,so推荐给大家喽!
这个证书的使用有一定的门槛
首先,你要有域名邮箱且必须是admin@xxx.xx的。注意:后面再次出现xxx.xx的地方均代表你的域名。。。
其次,每个证书从安全的角度讲问题都不大,无非是通配的在使用上方便点,比如我们知道开启ssl后打开网址会明显变慢,正常情况下会多加300多毫秒左右,那么为了缩短一般都会做ocsp,或着你根本不想被抓包开启了双向验证,就能体现出通配证书的方便。。。
另外,开启ocsp会有一定的风险,比如你有个子域名是个隐私的,或者根本就是内部系统使用的,那么可能会存在域名泄漏问题,所以建议主域名开就好,或使用host访问。补全证书链的问题,这个需要手动配置,好在是中间证书时长很长。。。
好了如果你还是确定要用,下面就开始吧~
1.https://alphassl.libmk.com/ 去申请你域名的密钥,输入*.xxx.xx,选择rsa就行,csr是验证你域名的申请凭值,这个需要你记录下来,key就是你的证书私钥,也需要记录下来。
2.去一个叫萌咖杂货店的地方买个token,https://shop.moeclub.org/cart.php?gid=4,这里需要说明下这个玩意给我没半毛钱关系,虽然名字像个人的~
3.https://api.libmk.com/SSL,打开这个网址输入你的csr,token就是你在杂货店花30元购买到的token,点击“Get AlphaSSL!”,会往你的域名邮箱发一封验证邮件,复制验证地址在浏览器打开(注意复制完整哈),不一会就给把证书发给你,大概6小时会同步到中国数字证书CHINASSL,同时也会把完整的证书发给你。其实你可以不用等的。
4.把邮件发给你的证书复制下来(-----BEGIN CERTIFICATE-----开头到-----END CERTIFICATE-----结束部分,且包涵这2个玩意),用一个记事本就行,命名xxx_xx.crt并复制进去,然后把中间证书和根证书加在后面,依次追加哈

中间证书:

  1. -----BEGIN CERTIFICATE-----
  2. MIIEijCCA3KgAwIBAgIQfU1CqStDHX5kU+fBmo1YdzANBgkqhkiG9w0BAQsFADBX
  3. MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE
  4. CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIyMTAx
  5. MjAzNDk0M1oXDTI3MTAxMjAwMDAwMFowTDELMAkGA1UEBhMCQkUxGTAXBgNVBAoT
  6. EEdsb2JhbFNpZ24gbnYtc2ExIjAgBgNVBAMTGUFscGhhU1NMIENBIC0gU0hBMjU2
  7. IC0gRzQwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCtJCmVZhWIPzOH
  8. A3jP1QwkuDFT8/+DImyZlSt85UpZwq7G0Sqd+n8gLlHIZypQkad5VkT7OLU+MI78
  9. lC7LVwxpU19ExlaWL67ANyWG8XHx3AJFQoZhuDbvUeNzRQyQs6XS5wN6uDlF0Bf1
  10. AtCUQWrGGLGYwyC1xTrzgrFKpESsIXMqklUGTsh8i7DKZhRUVfgrPLJUkbbLUrLY
  11. 42+KRCiwfSvBloC5PgDYnj3oMZ1aTe3Wfk3l1I4D3RKaJ4PU1qHXhHJOge2bjGIG
  12. l6MsaBN+BB2sr6EnxX0xnMIbew2oIfOFoLqs47vh/GH4JN0qql2WBHfDPVDm3b+G
  13. QxY6N/LXAgMBAAGjggFbMIIBVzAOBgNVHQ8BAf8EBAMCAYYwHQYDVR0lBBYwFAYI
  14. KwYBBQUHAwEGCCsGAQUFBwMCMBIGA1UdEwEB/wQIMAYBAf8CAQAwHQYDVR0OBBYE
  15. FE/LrKjC76vdg29rv86YPVxYJXYVMB8GA1UdIwQYMBaAFGB7ZhpFDZfKiVAvfQTN
  16. NKj//P1LMHoGCCsGAQUFBwEBBG4wbDAtBggrBgEFBQcwAYYhaHR0cDovL29jc3Au
  17. Z2xvYmFsc2lnbi5jb20vcm9vdHIxMDsGCCsGAQUFBzAChi9odHRwOi8vc2VjdXJl
  18. Lmdsb2JhbHNpZ24uY29tL2NhY2VydC9yb290LXIxLmNydDAzBgNVHR8ELDAqMCig
  19. JqAkhiJodHRwOi8vY3JsLmdsb2JhbHNpZ24uY29tL3Jvb3QuY3JsMCEGA1UdIAQa
  20. MBgwCAYGZ4EMAQIBMAwGCisGAQQBoDIKAQMwDQYJKoZIhvcNAQELBQADggEBABol
  21. 9nNkiECpWQenQ7oVP1FhvRX/LWTdzXpdMmp/SELnEJhoOe+366E0dt8tWGg+ezAc
  22. DPeGYPmp83nAVLeDpji7Nqu8ldB8+G/B6U9GB8i2DDIAqSsFEvcMbWb5gZ2/DmRN
  23. cifGi9FKAuFu2wyft4s4DHwzL2CJ2zjMlUOM3RaE1cxuOs+Om6MCD9G7vnkAtSiC
  24. /OOfHO902f4yI2a48K+gKaAf3lISFXjd32pwQ21LpM3ueIGydaJ+1/z8nv+C7SUT
  25. 5bHoz7cYU27LUvh1n2WSNnC6/QwFSoP6gNKa4POO/oO13xjhrLRHJ/04cKMbRALt
  26. JWQkPacJ8SJVhB2R7BI=
  27. -----END CERTIFICATE-----
复制代码


根证书:

  1. -----BEGIN CERTIFICATE-----
  2. MIIDdTCCAl2gAwIBAgILBAAAAAABFUtaw5QwDQYJKoZIhvcNAQEFBQAwVzELMAkG
  3. A1UEBhMCQkUxGTAXBgNVBAoTEEdsb2JhbFNpZ24gbnYtc2ExEDAOBgNVBAsTB1Jv
  4. b3QgQ0ExGzAZBgNVBAMTEkdsb2JhbFNpZ24gUm9vdCBDQTAeFw05ODA5MDExMjAw
  5. MDBaFw0yODAxMjgxMjAwMDBaMFcxCzAJBgNVBAYTAkJFMRkwFwYDVQQKExBHbG9i
  6. YWxTaWduIG52LXNhMRAwDgYDVQQLEwdSb290IENBMRswGQYDVQQDExJHbG9iYWxT
  7. aWduIFJvb3QgQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDaDuaZ
  8. jc6j40+Kfvvxi4Mla+pIH/EqsLmVEQS98GPR4mdmzxzdzxtIK+6NiY6arymAZavp
  9. xy0Sy6scTHAHoT0KMM0VjU/43dSMUBUc71DuxC73/OlS8pF94G3VNTCOXkNz8kHp
  10. 1Wrjsok6Vjk4bwY8iGlbKk3Fp1S4bInMm/k8yuX9ifUSPJJ4ltbcdG6TRGHRjcdG
  11. snUOhugZitVtbNV4FpWi6cgKOOvyJBNPc1STE4U6G7weNLWLBYy5d4ux2x8gkasJ
  12. U26Qzns3dLlwR5EiUWMWea6xrkEmCMgZK9FGqkjWZCrXgzT/LCrBbBlDSgeF59N8
  13. 9iFo7+ryUp9/k5DPAgMBAAGjQjBAMA4GA1UdDwEB/wQEAwIBBjAPBgNVHRMBAf8E
  14. BTADAQH/MB0GA1UdDgQWBBRge2YaRQ2XyolQL30EzTSo//z9SzANBgkqhkiG9w0B
  15. AQUFAAOCAQEA1nPnfE920I2/7LqivjTFKDK1fPxsnCwrvQmeU79rXqoRSLblCKOz
  16. yj1hTdNGCbM+w6DjY1Ub8rrvrTnhQ7k4o+YviiY776BQVvnGCv04zcQLcFGUl5gE
  17. 38NflNUVyRRBnMRddWQVDf9VMOyGj/8N7yy5Y0b2qvzfvGn9LhJIZJrglfCm7ymP
  18. AbEVtQwdpf5pLGkkeB6zpxxxYu7KyJesF12KwvhHhm4qxFYxldBniYUr+WymXUad
  19. DKqC5JlR3XC321Y9YeRq4VzW9v493kHMB65jUr9TU/Qr6cf9tveCX4XSQRjbgbME
  20. HMUfpIBvFSDJ3gyICh3WZlXi/EjJKSZp4A==
  21. -----END CERTIFICATE-----
复制代码


所以crt是有三部分组成,即,你的域名证书,中间证书,根证书。然后和你第1步保存的key一起即组成了完整的证书。

我们拿nginx的配置来大概配置下,因为是通配符,所以你放一个固定目录就好了呀,比如/usr/ssl/xxx_xx_nginx/
那么ssl配置文件我们也可以配置一个统一的,所有server引用即可,假设我们在nginx的conf目录里新建了文件ssl_xxx_xx.conf,那么可能是这样配置的

  1. ssl_certificate /usr/ssl/xxx_xx_nginx/xxx_xx.crt;
  2. ssl_certificate_key /usr/ssl/xxx_xx_nginx/xxx_xx.key;
  3. ssl_session_timeout 1d;
  4. ssl_session_cache shared:MozSSL:10m;
  5. ssl_session_tickets off;

  6. ssl_protocols TLSv1.2 TLSv1.3;
  7. ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
  8. ssl_prefer_server_ciphers off;

  9. add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
  10. add_header 'X-XSS-Protection' '1; mode=block' always;

  11. ssl_stapling on;
  12. ssl_stapling_verify on;
  13. ssl_trusted_certificate /usr/ssl/xxx_xx_nginx/xxx_xx-chain.pem;
复制代码

那么只要在各个server模板中引用它即可

  1. include ssl_xxx_xx.conf;
复制代码

好了我们来看下配置是否正确,当然记得重启nginx哦,推荐用火狐浏览器!大概的步骤,
首先打开域名,点击网址前锁的标识,大概的样子:

点击查看证书,进去看到了三个,大概就差不多了哦!

最后看下效果吧,a+还可以哦~

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
回复

使用道具 举报

61

主题

2315

帖子

2246

积分

落伍者(两全齐美)

Rank: 2

贡献
82
鲜花
7
注册时间
2007-2-1
发表于 2023-12-25 18:13:04 | 显示全部楼层 来自 中国广东深圳
回复

使用道具 举报

头像被屏蔽

1万

主题

16万

帖子

17万

积分

禁言

祖传专业维修、加固处囡膜

贡献
19632
鲜花
2637
注册时间
2005-2-27

落伍手机绑定

发表于 2023-12-25 18:29:52 | 显示全部楼层 来自 中国广东江门
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

565

主题

2万

帖子

1万

积分

落伍者(四季发财)

非stalin马甲

Rank: 4

贡献
2532
鲜花
71
注册时间
2007-2-25

QQ绑定落伍者落伍手机绑定

发表于 2023-12-25 18:59:27 | 显示全部楼层 来自 中国广东惠州
如果一年多了,那30肯定值,如果几个月的话,西部数据有1元体验,好像也是3个月
回复 支持 反对

使用道具 举报

9742

主题

5万

帖子

7845

积分

落伍者(三羊开泰)

Rank: 3Rank: 3

贡献
3987
鲜花
65
注册时间
2007-12-29

落伍手机绑定

发表于 2023-12-25 19:20:41 | 显示全部楼层 来自 中国山西晋城
谢谢分享
免费扫高权重域名:加落伍创业干货群52385364
数字创业资质办理:天津盛世创举
回复

使用道具 举报

1099

主题

9551

帖子

9451

积分

落伍管理

正牌猪头,别无分店

Rank: 12Rank: 12Rank: 12

贡献
7068
鲜花
762
注册时间
2004-5-12

落伍手机绑定

发表于 2023-12-25 19:42:34 | 显示全部楼层 来自 中国广东茂名
通配在做垃圾站时方便很多
装B之人必有傻B之处。
回复 支持 反对

使用道具 举报

230

主题

7万

帖子

6万

积分

落伍者(五谷丰登)

哆啦D梦

Rank: 8Rank: 8

贡献
4106
鲜花
46
注册时间
2007-2-19

QQ绑定落伍手机绑定落伍者

发表于 2023-12-25 19:48:47 | 显示全部楼层 来自 中国广东中山
看起来蛮不错的啊
www.zhgov.com << 帮人挂
回复 支持 反对

使用道具 举报

110

主题

4565

帖子

2928

积分

落伍者(两全齐美)

Rank: 2

贡献
1269
鲜花
13
注册时间
2006-6-13

落伍手机绑定

 楼主| 发表于 2023-12-25 20:38:54 | 显示全部楼层 来自 中国广东广州
vixf 发表于 2023-12-25 18:59
如果一年多了,那30肯定值,如果几个月的话,西部数据有1元体验,好像也是3个月

397天
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

论坛客服/商务合作/投诉举报:2171544 (QQ)
落伍者创建于2001/03/14,本站内容均为会员发表,并不代表落伍立场!
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论!
落伍官方微信:2030286 邮箱:(djfsys@gmail.com|tech@im286.com)
© 2001-2014

浙公网安备 33060302000191号

浙ICP备11034705号 BBS专项电子公告通信管[2010]226号

  落伍法律顾问: ITlaw-庄毅雄

手机版|找回帐号|不能发帖?|Archiver|落伍者

GMT+8, 2024-11-25 21:59 , Processed in 0.063330 second(s), 32 queries , Gzip On.

返回顶部