freessl.cn(原freessl.org)免费一年亚洲诚信SSL证书申请教程
SSL证书加密也就是https加密,我曾经在三年前的时候说过现在时机尚不成熟,容易引发各种问题。比如https被某些运营商给阻断了导致网站无法访问,以及比如阿里云香港机房甚至还会出现无法使用443端口的问题。现在随着时间的推移基本这类问题已经很少了,已经基本满足了网站升级https的全部条件。因此我在这里宣布一个好消息,我们阳光实验室从2022年元旦起正式开始使用https加密传输,网址将变更为 https://www.zzygx.cc/(相关的链接也可用https访问),为了保证在https出现问题时仍可正常访问,我也在这里承诺http版本的80端口访问永久保留,也就是本站跟其他一些博客网站只能https访问会略有不同,我们会采用双协议访问,确保您无论如何都能访问我们的网站。
在当年的文章中我曾经提到过,不是不升级https而是一些条件没有达到,满足了自然会上加密的。就像当年淘汰IE6跟XP一样,随着时间的推移和技术上的成熟,那么这些问题自然就会迎刃而解,因此我们将进行https的升级改造。鉴于国外九成网站使用了加密和国内的网站接近六七成(博客网站超八成)已使用https,以及谷歌、火狐、微软等浏览器开始默认强制使用https和给http网站标记,谷歌百度等搜索引擎自2015年起优先增加https网站的权重等等这些因素,网站的https加密传输已成大势所趋。顺应时代大趋势的发展,我们的网站https加密也必须要跟上。
所以我们就需要申请一个证书来开加密,证书有付费和免费的,一般商业公司才会购买证书进行配置,一般像我们这些个人博主基本上选个免费证书就行了,毕竟你的网站访问量也不大而且机密信息也没有多少。大部分站长都是使用的全球最大的免费证书提供商Let’s Encrypt的证书,不过这个证书的有效期只有90天,每三个月就要换一个新证书。虽然可以无限更换,但是这一年要换四次证书实在是太麻烦了,那么有没有一年有效期的证书呢?一般阿里云腾讯云这类云服务商都会提供免费一年的证书,然后只要你的域名在他们那里就能申请,对于域名不在那里的又不能使用CF免费证书的朋友那肯定要选一个第三方免费证书申请网站。国外这类网站多的是可以自行寻找。今天我推荐一个国内的能申请这种免费证书的地方,那就是freessl.cn(原freessl.org)
他们家除了能提供三个月通配符无限域名的Let’s Encrypt V2证书以外,还能提供一种免费一年的SSL证书,那就是亚洲诚信一年免费的证书,每年可申请一次,不过这个证书只能给纯域名和WWW域名这两个域名免费申请,通配符的和其他子域名的可能要另行收费,但是对于我们这种只有这两个域名的网站来说足够了。那接下来我就来给大家介绍一下如何在freessl.cn申请到亚洲诚信一年的免费证书。
首先我们打开 https://freessl.cn/ 进入首页后可以点击注册账号,输入邮箱密码(还需要邮件和手机号验证)注册即可,注册完之后可以登录到控制台开始申请证书。(如果你先操作还是需要你注册账号,因此先注册好账号再来申请)
在注册完账号之后我们就开始申请证书:
在这里我们选择亚洲诚信双域名一年免费证书,然后输入纯域名(不带WWW的)即可,点击创建后自动补全带WWW的域名
这里输入邮箱即可创建(登录账号的邮箱这里自动补全,无需输入)
这里说一下,证书类型RSA一般大部分的浏览器和系统都能兼容(Let’s Encrypt的R3证书就是这种证书),ECC则是新的加密方式(CF的SNI证书就是这种ECDSA的),兼容性比RSA略少有的可能不支持,但是对服务器内存CPU的计算资源占用很低。一般为了兼容性我们选择RSA证书(选择ECC也可以,根据自己的喜好选择)。
域名验证类型分两种,一个是通过添加TXT解析来实现的DNS验证,另一个是将文件下载后上传到服务器以实现访问的文件验证,我们以DNS验证来介绍下面的过程。
需要格外注意的地方是这里,CSR生成,这是什么呢?就是你的私钥也就是.key后缀文件的生成,如果选择前面两个会自动下载安装亚洲诚信自己的私钥生成软件,非常麻烦。这里一定要选择浏览器生成私钥,在点击生成之后通过浏览器自动下载私钥也就是含有pravite.key文件的zip压缩包,下载保存即可。
点击创建即可,接下来开始DNS验证
如图所示,需要到你域名的DNS服务商处添加一个TXT解析记录用于域名所有权的验证工作,谁给你提供域名解析服务就到谁家添加解析。比如阿里云、腾讯云dnspod、cloudflare、namesilo之类的DNS提供商,这里我以阿里云的修改DNS解析为例进行讲解,其他服务商的解析过程大同小异。
点击你的域名里面的解析设置,找到添加解析按钮
根据他的要求进行解析记录的填写,一定要选TXT记录,否则会导致验证不通过,无法申请到证书
这就可以了,稍等片刻,然后我们先点击图中的配置完成检测一下,进行DNS验证
接下来进入到亚洲诚信的域名验证页面,看到下面的结果就是验证成功
显示绿色的匹配就是验证成功,然后我们再点击上图的最终验证即可,等待片刻完成后即可自动下载证书
这里特别说一下,如果很长时间没有反应请不要继续点击验证。因为亚洲诚信有规定一个域名最多只能申请20次订单,超过则无法申请。如果一直没验证通过请到后面控制台里面进行验证。
就是这里进入控制台后选择订单列表,当证书申请通过后会显示完成,就可以在有效期内随意不限次数的下载此证书。而如果没有通过的就是在图上这个订单后面状态显示待验证状态的位置上点击验证进行再次验证,切不可在主页继续申请了。
当出现这个画面代表我们的证书签发成功,CA公钥和私钥都会显示出来(BEGIN开始END结束的一串密码),点击下载文件下载zip压缩包,就会得到两个证书文件,一个是full_chain.pem的pem文件(可自动更改为crt或cer或其他文件),另一个就是刚才下载好的pravite.key的key文件,将这两个文件上传到服务器即可。不同的服务器配置是不一样的具体可以访问官网或自行搜索。如果是Apache和Nginx服务器的用户一般这两个文件上传后直接进行配置文件的编辑进行配置,重启生效后就可通过https访问了。
证书必须上传服务器进行配置才可生效,否则就是两个没用的文件。具体各个服务器系统的配置教程请自行谷歌百度搜索,LNMP宝塔等一键安装包和可视化面板的直接根据提示进行自动配置即可。
配置成功后的一个最显著的特征就是网站的443端口会自动放行,就是通过netstat命令就能看到443端口。
然后使用https访问你的域名显示有绿锁或直接就是一把锁那就是成功的开启https访问了。
接下来我们可以通过控制台查看订单和证书、下载证书和浏览详情
这两个地方都可以下载证书,如果证书丢失或损坏可以重新下载后进行配置
到这里我们的免费一年的SSL证书的申请和配置就算是完成了(配置过程本文省略),一般静态或者普通的页面此时就能使用https正常访问了。而如果是wordpress这样的程序,则仍然需要进行一番设置,才能实现博客站的加密访问。我们将在后面的文章中为您详细介绍WP博客网站升级https的最后一步,也就是WP的设置和调整,在接下来的设置完成之后我们的博客就能通过https访问了。
现在其实也可以访问,不过是个假的https,也就是半加密,一些浏览器会认为https的网站调用了http的链接,会在小锁后面出现感叹号,需要全加密才能去除,这就是下一讲要说的内容,敬请继续关注。