51kuku

如果你连30元都不舍得花，或你根本不在乎域名证书还有品牌这玩意，或你觉得3个月搞一下也没多费事，那么你可以后退了，下面的内容可能不适合你~
还记得刚开始某大咖介绍说，GlobalSign的通配符证书，半年只要30元，因为是通配的我想这么便宜搞一个呗，结果申请下来发现是397天~到今天已安全的使用一年了，so觉得还是蛮实惠，so推荐给大家喽！
这个证书的使用有一定的门槛
首先，你要有域名邮箱且必须是admin@xxx.xx的。注意：后面再次出现xxx.xx的地方均代表你的域名。。。
其次，每个证书从安全的角度讲问题都不大，无非是通配的在使用上方便点，比如我们知道开启ssl后打开网址会明显变慢，正常情况下会多加300多毫秒左右，那么为了缩短一般都会做ocsp，或着你根本不想被抓包开启了双向验证，就能体现出通配证书的方便。。。
另外，开启ocsp会有一定的风险，比如你有个子域名是个隐私的，或者根本就是内部系统使用的，那么可能会存在域名泄漏问题，所以建议主域名开就好，或使用host访问。补全证书链的问题，这个需要手动配置，好在是中间证书时长很长。。。
好了如果你还是确定要用，下面就开始吧~
1.https://alphassl.libmk.com/ 去申请你域名的密钥，输入*.xxx.xx，选择rsa就行，csr是验证你域名的申请凭值，这个需要你记录下来，key就是你的证书私钥，也需要记录下来。
2.去一个叫萌咖杂货店的地方买个token,https://shop.moeclub.org/cart.php?gid=4，这里需要说明下这个玩意给我没半毛钱关系，虽然名字像个人的~
3.https://api.libmk.com/SSL，打开这个网址输入你的csr，token就是你在杂货店花30元购买到的token，点击“Get AlphaSSL!”，会往你的域名邮箱发一封验证邮件，复制验证地址在浏览器打开（注意复制完整哈），不一会就给把证书发给你，大概6小时会同步到中国数字证书CHINASSL，同时也会把完整的证书发给你。其实你可以不用等的。
4.把邮件发给你的证书复制下来（-----BEGIN CERTIFICATE-----开头到-----END CERTIFICATE-----结束部分，且包涵这2个玩意），用一个记事本就行，命名xxx_xx.crt并复制进去，然后把中间证书和根证书加在后面，依次追加哈

中间证书：

1. 
   
2. -----BEGIN CERTIFICATE-----
   
3. MIIEijCCA3KgAwIBAgIQfU1CqStDHX5kU+fBmo1YdzANBgkqhkiG9w0BAQsFADBX
   
4. MQswCQYDVQQGEwJCRTEZMBcGA1UEChMQR2xvYmFsU2lnbiBudi1zYTEQMA4GA1UE
   
5. CxMHUm9vdCBDQTEbMBkGA1UEAxMSR2xvYmFsU2lnbiBSb290IENBMB4XDTIyMTAx
   
6. MjAzNDk0M1oXDTI3MTAxMjAwMDAwMFowTDELMAkGA1UEBhMCQkUxGTAXBgNVBAoT
   
7. EEdsb2JhbFNpZ24gbnYtc2ExIjAgBgNVBAMTGUFscGhhU1NMIENBIC0gU0hBMjU2
   
8. IC0gRzQwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQCtJCmVZhWIPzOH
   
9. A3jP1QwkuDFT8/+DImyZlSt85UpZwq7G0Sqd+n8gLlHIZypQkad5VkT7OLU+MI78
   
10. lC7LVwxpU19ExlaWL67ANyWG8XHx3AJFQoZhuDbvUeNzRQyQs6XS5wN6uDlF0Bf1
    
11. AtCUQWrGGLGYwyC1xTrzgrFKpESsIXMqklUGTsh8i7DKZhRUVfgrPLJUkbbLUrLY
    
12. 42+KRCiwfSvBloC5PgDYnj3oMZ1aTe3Wfk3l1I4D3RKaJ4PU1qHXhHJOge2bjGIG
    
13. l6MsaBN+BB2sr6EnxX0xnMIbew2oIfOFoLqs47vh/GH4JN0qql2WBHfDPVDm3b+G
    
14. QxY6N/LXAgMBAAGjggFbMIIBVzAOBgNVHQ8BAf8EBAMCAYYwHQYDVR0lBBYwFAYI
    
15. KwYBBQUHAwEGCCsGAQUFBwMCMBIGA1UdEwEB/wQIMAYBAf8CAQAwHQYDVR0OBBYE
    
16. FE/LrKjC76vdg29rv86YPVxYJXYVMB8GA1UdIwQYMBaAFGB7ZhpFDZfKiVAvfQTN
    
17. NKj//P1LMHoGCCsGAQUFBwEBBG4wbDAtBggrBgEFBQcwAYYhaHR0cDovL29jc3Au
    
18. Z2xvYmFsc2lnbi5jb20vcm9vdHIxMDsGCCsGAQUFBzAChi9odHRwOi8vc2VjdXJl
    
19. Lmdsb2JhbHNpZ24uY29tL2NhY2VydC9yb290LXIxLmNydDAzBgNVHR8ELDAqMCig
    
20. JqAkhiJodHRwOi8vY3JsLmdsb2JhbHNpZ24uY29tL3Jvb3QuY3JsMCEGA1UdIAQa
    
21. MBgwCAYGZ4EMAQIBMAwGCisGAQQBoDIKAQMwDQYJKoZIhvcNAQELBQADggEBABol
    
22. 9nNkiECpWQenQ7oVP1FhvRX/LWTdzXpdMmp/SELnEJhoOe+366E0dt8tWGg+ezAc
    
23. DPeGYPmp83nAVLeDpji7Nqu8ldB8+G/B6U9GB8i2DDIAqSsFEvcMbWb5gZ2/DmRN
    
24. cifGi9FKAuFu2wyft4s4DHwzL2CJ2zjMlUOM3RaE1cxuOs+Om6MCD9G7vnkAtSiC
    
25. /OOfHO902f4yI2a48K+gKaAf3lISFXjd32pwQ21LpM3ueIGydaJ+1/z8nv+C7SUT
    
26. 5bHoz7cYU27LUvh1n2WSNnC6/QwFSoP6gNKa4POO/oO13xjhrLRHJ/04cKMbRALt
    
27. JWQkPacJ8SJVhB2R7BI=
    
28. -----END CERTIFICATE-----
    

复制代码

根证书：

1. 
   
2. -----BEGIN CERTIFICATE-----
   
3. MIIDdTCCAl2gAwIBAgILBAAAAAABFUtaw5QwDQYJKoZIhvcNAQEFBQAwVzELMAkG
   
4. A1UEBhMCQkUxGTAXBgNVBAoTEEdsb2JhbFNpZ24gbnYtc2ExEDAOBgNVBAsTB1Jv
   
5. b3QgQ0ExGzAZBgNVBAMTEkdsb2JhbFNpZ24gUm9vdCBDQTAeFw05ODA5MDExMjAw
   
6. MDBaFw0yODAxMjgxMjAwMDBaMFcxCzAJBgNVBAYTAkJFMRkwFwYDVQQKExBHbG9i
   
7. YWxTaWduIG52LXNhMRAwDgYDVQQLEwdSb290IENBMRswGQYDVQQDExJHbG9iYWxT
   
8. aWduIFJvb3QgQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDaDuaZ
   
9. jc6j40+Kfvvxi4Mla+pIH/EqsLmVEQS98GPR4mdmzxzdzxtIK+6NiY6arymAZavp
   
10. xy0Sy6scTHAHoT0KMM0VjU/43dSMUBUc71DuxC73/OlS8pF94G3VNTCOXkNz8kHp
    
11. 1Wrjsok6Vjk4bwY8iGlbKk3Fp1S4bInMm/k8yuX9ifUSPJJ4ltbcdG6TRGHRjcdG
    
12. snUOhugZitVtbNV4FpWi6cgKOOvyJBNPc1STE4U6G7weNLWLBYy5d4ux2x8gkasJ
    
13. U26Qzns3dLlwR5EiUWMWea6xrkEmCMgZK9FGqkjWZCrXgzT/LCrBbBlDSgeF59N8
    
14. 9iFo7+ryUp9/k5DPAgMBAAGjQjBAMA4GA1UdDwEB/wQEAwIBBjAPBgNVHRMBAf8E
    
15. BTADAQH/MB0GA1UdDgQWBBRge2YaRQ2XyolQL30EzTSo//z9SzANBgkqhkiG9w0B
    
16. AQUFAAOCAQEA1nPnfE920I2/7LqivjTFKDK1fPxsnCwrvQmeU79rXqoRSLblCKOz
    
17. yj1hTdNGCbM+w6DjY1Ub8rrvrTnhQ7k4o+YviiY776BQVvnGCv04zcQLcFGUl5gE
    
18. 38NflNUVyRRBnMRddWQVDf9VMOyGj/8N7yy5Y0b2qvzfvGn9LhJIZJrglfCm7ymP
    
19. AbEVtQwdpf5pLGkkeB6zpxxxYu7KyJesF12KwvhHhm4qxFYxldBniYUr+WymXUad
    
20. DKqC5JlR3XC321Y9YeRq4VzW9v493kHMB65jUr9TU/Qr6cf9tveCX4XSQRjbgbME
    
21. HMUfpIBvFSDJ3gyICh3WZlXi/EjJKSZp4A==
    
22. -----END CERTIFICATE-----
    

复制代码

所以crt是有三部分组成，即，你的域名证书，中间证书，根证书。然后和你第1步保存的key一起即组成了完整的证书。

我们拿nginx的配置来大概配置下，因为是通配符，所以你放一个固定目录就好了呀，比如/usr/ssl/xxx_xx_nginx/
那么ssl配置文件我们也可以配置一个统一的，所有server引用即可，假设我们在nginx的conf目录里新建了文件ssl_xxx_xx.conf，那么可能是这样配置的

1. 
   
2. ssl_certificate /usr/ssl/xxx_xx_nginx/xxx_xx.crt;
   
3. ssl_certificate_key /usr/ssl/xxx_xx_nginx/xxx_xx.key;
   
4. ssl_session_timeout 1d;
   
5. ssl_session_cache shared:MozSSL:10m;
   
6. ssl_session_tickets off;
   
7. 
   
8. ssl_protocols TLSv1.2 TLSv1.3;
   
9. ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
   
10. ssl_prefer_server_ciphers off;
    
11. 
    
12. add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
    
13. add_header 'X-XSS-Protection' '1; mode=block' always;
    
14. 
    
15. ssl_stapling on;
    
16. ssl_stapling_verify on;
    
17. ssl_trusted_certificate /usr/ssl/xxx_xx_nginx/xxx_xx-chain.pem;
    

复制代码

那么只要在各个server模板中引用它即可

1. 
   
2. include ssl_xxx_xx.conf;
   

复制代码

好了我们来看下配置是否正确，当然记得重启nginx哦，推荐用火狐浏览器！大概的步骤，
首先打开域名，点击网址前锁的标识，大概的样子：

点击查看证书，进去看到了三个，大概就差不多了哦！

最后看下效果吧，a+还可以哦~

5d5p

vixf

如果一年多了，那30肯定值，如果几个月的话，西部数据有1元体验，好像也是3个月

syxxz

谢谢分享

crazy

通配在做垃圾站时方便很多

ts99

看起来蛮不错的啊

51kuku

vixf 发表于 2023-12-25 18:59
如果一年多了，那30肯定值，如果几个月的话，西部数据有1元体验，好像也是3个月

397天