• 欢迎访问举个栗子网站
  • 小说APP下载 xsz.tw 不带广告的小说站

申请 AlphaSSL (Loovit.Net) 泛域名证书的那些坑

新闻 举个栗子 来源:FlowMine 2年前 (2018-03-22) 722次浏览 0个评论 扫描二维码

原申请地址已失效,新申请地址:https://www.starrydots.com/assl

申请 AlphaSSL (Loovit.Net) 泛域名证书的那些坑

在 v2 得知可以在 assl.loovit.net 申请到泛域名证书之后就一直想着把博客的 WoSign 证书换掉,毕竟 WoSign 的证书 Chrome 爸爸已经把它列进黑名单了,自己的博客从小绿锁变成大红叉看着很难受,而且 WoSign 的所作所为也证明了它确实不可以再被信任。但是按照流程申请之后发现根本收不到它所谓的验证邮件,给官方的客服人员发了好多邮件,最终解决,在这里总结一下这些坑,防止再踩。

准备域名邮箱和 CSR 文件

AlphaSSL 证书的申请,需要先提交域名的 CSR(证书请求文件),然后用域名邮箱作验证,保证你是这个域名的所有者。CSR 很好生成,可以用 openssl 在本地生成,也可以去 CHINASSL 这里在线生成,不再赘述。注意如果你想申请泛域名证书,生成 CSR 时域名应该是 *.vizards.cc, 而不是 vizards.cc。

注意保存好 Key 文件,部署时需要

域名邮箱可以选择 QQ 域名邮箱,很简单方便,也有操作指南,设置好 MX 解析后用另一个邮箱给域名邮箱发一封邮件测试无误即可。目前 QQ 邮箱并没有屏蔽 AlphaSSL 发来的邮件,因此可以放心使用。必须使用下面的 用户名 @域名 邮箱之一才能接收到验证邮件:

admin@your-domain.com
administrator@your-domain.com
hostmaster@your-domain.com
postmaster@your-domain.com
webmaster@your-domain.com

域名的准备工作

这里坑很多,一个一个讲。

Email Address 的填写

申请证书的页面需要你填写一个 Email Address.

申请 AlphaSSL (Loovit.Net) 泛域名证书的那些坑

这里最好填写域名的联系人邮箱(在域名提供商那里可以查询得到的),这是接收证书的邮箱,非常关键。

关闭域名保护

最好关闭域名保护,开启域名保护可能会使 AlphaSSL 无法验证信息,导致无法签发

清除域名的 CNAME 记录

CNAME 记录开启,会导致 AlphaSSL 无法校验域名信息,根据官方人员给我的邮件,他们认为给根域名添加 CNAME 是一个错误的行为,具体原因参见 Why it’s a bad idea to put a CNAME record on your root domain

保证网站可访问

这个坑官方人员一直没有说,所以我弄了很长时间死活收不到邮件,直到最后决定放弃,部署上了一张 Symantec 的单域名证书,证书生效的几乎同时我的邮箱就收到了 AlphaSSL 的验证邮件。

总结原因应该是我之前的证书失效可能导致了 AlphaSSL 的验证程序无法获取正确的域名解析信息。所以,要保证网站可以访问,即便是 http 不是 https 也可以。

收到邮件后的工作

同意申请链接只能点击一次

在域名邮箱收到验证邮件之后,点击 I Approve,AlphaSSL 便会把证书的 CRT 以邮件内容的形式发送给你,注意,I Approve 这个按钮只能点击一次,点击后不管有没有收到邮件,都会失效。因此接收证书的邮箱一定要填对,确保可以收到 CRT。

合并中级证书

由于 AlphaSSL 是中级证书商,因此需要把它的中级证书和签发给我的证书合并。

AlphaSSL 官方网站提供了他们的中级证书,注意对应证书的格式和有效期,只需要把文本框里的内容粘贴到 CRT 文件里即可。注意顺序,中级证书在上,颁发给域名的域名证书在下。合并出来的 CRT 文件就可以正常部署到服务器上,不会产生不安全的警告。

部署

上面的 key 文件 和 合并好的 CRT 文件部署上服务器就可以了。


举个栗子 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:申请 AlphaSSL (Loovit.Net) 泛域名证书的那些坑
喜欢 (0)
举个栗子
关于作者:
建筑工地上施工员,闲暇时弄个博客打发时间,
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址