前言
如何优雅地免费Get到一张Sectigo(前身Comodo CA)的三月期多域名通配符DV证书?这里或许有一些有用的的办法。
前排提醒:本文不包含任何商业内容,如果亚数和环智中诚觉着垃圾十二写得还不错可以考虑给 me@shiertx.com 的支付宝打点钱(不是)
老规矩,先上图:
图中的证书是十二博客旗下站点在生产环境中使用的SSL证书,在Sectigo官网上,一年期的单域名、多域名和通配符证书的价格分别为149美元、349美元和599美元,发文时的汇率为1USD:6.48CNY,换算下来分别为965.03元、2260.36元和3879.53元,这对于个人或小微企业无疑是一笔大的开支。不过好在,市场上也有免费的解决方案,目前最热门的是TrustAsia(亚洲诚信)和Let's Encrypt的免费SSL证书。
对比
TrustAsia只支持单域名申请,如果申请域名为www域还会送一个@域,适合只使用www和主域名的站点,当然,你一个站点申请一张也不是不行,不过据说亚数限制了一个主域名只能申请30张的样子,生命周期为一年。
Let's Encrypt和Sectigo的免费证书差不多,均支持通配符和多域名,生命周期均为一季度,大概唯一的区别就是根证书——
Let's Encrypt 的根证书目前为DST Root CA X3,为ISRG(Internet Security Research Group)合作伙伴IdenTrust提供,将在今年(2021年)的9月30日结束生命周期。
不过不用担心,这不会发生兼容性问题——Let's Encrypt博客的这篇文章详细说明了这一点——
IdenTrust has agreed to issue a 3-year cross-sign for our ISRG Root X1 from their DST Root CA X3. The new cross-sign will be somewhat novel because it extends beyond the expiration of DST Root CA X3. This solution works because Android intentionally does not enforce the expiration dates of certificates used as trust anchors. ISRG and IdenTrust reached out to our auditors and root programs to review this plan and ensure there weren’t any compliance concerns.然后还附了一张图——
这张图详细解释了他们的证书链情况。当然,如果你喜欢搞一点奇怪的证书,你可以试试今天我要推的——Sectigo 免费 DV 证书。
懒得使用QQ注册的访客,这里是传送门
[CommShow]
申请证书
当然,这款证书不是在Sectigo官网申请的,而是在它家亚太地区的铂金合作伙伴——TrustOcean(环智中诚)处申请。
首先,打开控制台,登录已有的账号或新注册一个。
然后,点击这里,并选择好证书数量和域名数量,如果你和我一样闲得蛋疼,还可以每个参数都选最大值,勾选我已经充分阅读、理解并同意《用户服务协议》,点击确认下单。
接着,点击左侧边栏的管理证书,或者点这里,找到刚才购买的证书,一般位于最上方,状态为待提交CSR。
然后,在你的电脑上下载KeyManager(亚数家的证书管理软件,多平台兼容),更方便快捷地管理证书私钥,当然,你也可以跳过此步骤,稍后直接在浏览器生成CSR(部分浏览器不支持),私钥会自动下载到本地。打开下载好的KeyManager,设置一个密码,记牢它,以后打开KeyManager都需要输入。
点击证书请求,再点击右上方的创建CSR。
证书类型选择 服务器证书 ,通用名称按情况填写——如果你要申请单域名通配符证书,请填写*.你要申请的域名
,如我想为LICZHI.COM
申请一个通配符证书,只需要输入*.liczhi.com
就可以了。
对于DV证书来说,邮件、企业单位名称、部门、省份、城市这几个信息是选填的,说明白点就是填了也没用,加密算法默认RSA就好,如果你想体验ECC也可以,不要选国密SM2,CA不支持。
加密强度以目前的情况而言,你大可放心地使用2048,要求严格点的也可以3072,至于4096和8192……如果我没记错的话会返回UnSupport。
备用名称一栏,填写所有你想申请的域,比如这次我需要填写*.liczhi.com
和liczhi.com
,使用换行把它们分割开来。
OCSP必须装订的选项,默认就好。
勾选保存私钥后,点击创建CSR吧!
复制下方的CSR PEM,打开刚才申请的证书的证书管理页面,将刚才复制的CSR粘贴进入证书申请信息下方的输入框中吧!
在下方输入刚才输入的全部备用名称,比如我刚才输入的*.liczhi.com
liczhi.com
.接着,点击下一步
在这个页面选择验证方式,目前有DNS(CNAME)、文件验证(Port 80/443)和邮件验证。
这里我们就选DNS验证吧
然后点击提交
按照上方提示的DNS值前往DNS提供商进行CNAME解析,然后点击上方的绿色的检查并取回证书
,如果DNS配置生效很快,这时就验证完成了~
如有未尽之事宜,将在后期修改,如果你赞同这篇文章,你可以在评论区留下你的脚印、分享给你的朋友,我们下期再见~[/CommShow]
[Badlaugh]