AlphaSSL 申请教程 [`前往申请`]

AlpahSSL 证书申请流程概要


          确认拥有该域名的解析权或者 "admin@域名" 能够接收邮件
                           |
                           V
                 生成该域名的 CSR, 并保存好私钥
                           |
                           V
          检查域名的 A 解析, 确认为 69.175.0.0/17。比如：69.175.0.0。
          检查域名的 MX 解析, 并确认使用 8.8.8.8 能过获得正确解析记录
          检查域名的 CAA 解析, 添加 0 issuewild "globalsign.com" 记录或暂停所有CAA解析
          检查域名的 CNAME 解析, 如果有则暂停解析
                     /               \
    内置API模式      /                 \
 (无需邮箱,强烈推荐) /                   \   自己使用 "admin@域名" 邮箱接收确认邮件
                 /                      \
                /                        \
   1. 将域名的 MX 记录解析到内置API           \
      "api.libmk.com" 权重 10          1. 提交 CSR 并等待邮件到达
      等待解析生效并且稳定                  2. 按邮件提示确认申请
   2. 提交 CSR 并等待2分钟                 3. 等待证书内容邮件到达
   3. 【可选】使用 "MAIL" 控制命令             或者使用 "VIEW" 获取已补全证书链的证书内容
      确认邮件并返回成功提示
   4. 【可选】操作成功完成后即可改回解析
   5. 使用 "VIEW" 获取已补全证书链的证书内容

申请前须知

将会使用 admin@domain.tld 接收确认邮件及证书.
需要修改域名的 A 解析记录至69.175.0.0/17, 例如:69.175.0.0 (必须,可能会造成业务中断)
如遇到域名记录解析相关问题, 请检查域名注册商的DNSSEC配置和域名解析提供商的DNSSEC配置是否同时开启或者同时关闭.
删除所有 CAA 解析记录或添加值为 0 issuewild "globalsign.com"的 CAA 解析记录
否则可能会无法成功签发证书. (必须)
暂停解析 CNAME 记录, 否则可能会无法收到证书确认邮件. (必须)
(如果为主域申请证书,只需要暂停主域的 CNAME 解析. 不需要暂停子域名的 CNAME 解析.)
如果没有域名邮箱, 可用内置API邮箱完成.
使用的是腾讯云(DNSPOD),阿里云等服务商提供的解析服务,请暂停该级域名一切解析并使用内置API邮箱完成签发.
AlphaSSL 支持 RSA 和 ECC (prime256v1, secp384r1)

准备CSR并保存匹配的私钥

域名: *.domian.tld
自行准备CSR文件或使用在线工具生成
创建私钥文件 server.key.pem
- 新建空白文本文件(txt文档)
- 粘贴私钥内容到空白文本内并保存
- 将文件重命名为 server.key.pem 得到私钥文件
创建证书文件 server.crt.pem
- 新建空白文本文件(txt文档)
- 等待签发下来的证书并粘贴的证书内容
- 将文件重命名为 server.crt.pem 得到证书文件

申请证书的步骤

注意: 如果使用内置API邮箱,请先查看并完成内置API使用方法章节中的步骤.
填入准备的CSR和Apply Token信息, 点击 "Get AlphaSSL!"
确认邮件 (手动点击收件箱中的邮件或者由内置API自动确认).
获得证书文件内容并填充证书文件.
将证书文件(server.crt.pem)与私钥文件(server.key.pem)打包成一组.

内置API使用方法(强烈推荐,最快只需两分钟就可获得证书)

修改待申请证书的域名的 MX 记录(主域名一般为@)
将 MX 记录解析至 api.libmk.com 权重 10
如果有其他 MX 记录将其暂停, 只保留这一条 MX 记录

等待 MX 记录生效 (更改之前 TTL 设置的多少就等多少秒)

设置解析示例: MX(解析类型)  10(权重)  @(主机名)  api.libmk.com(目标值)
*.abc.com --> MX 10 @ api.libmk.com    
*.sub.abc.com --> MX 10 sub api.libmk.com

填入准备的CSR和Apply Token信息, 点击 "Get AlphaSSL!"
等待 2 分钟
通过内置API获得证书
- 注意:此项步骤前需要确认邮件, 内置API模式会自动确认邮件.
- 在 Apply Token 框内填申请时的 Apply Token
- 点击 "View AlphaSSL!", 即可看到申请的证书(已补全证书链).
- 注意: 此项操作如果未查询到证书,将会自动重发确认邮件.

通过内置API邮箱手动确认邮件

在填 CSR 的框框内填上 "MAIL" (不包括引号,仅4个字母)
Apply Token 框内填申请时的 Apply Token
点击 "Get AlphaSSL!", 即可看到提示.
注意: 内置API模式非特殊情况一般不需要进行此操作.

补全证书链

将下面字段`(证书链)`粘贴至证书文件`(server.crt.pem)`末尾即可

GlobalSign GCC R6 AlphaSSL CA 2023 [2024/01/29 ~]

校验证书文件与密钥文件是否匹配

# 密钥文件 server.key.pem
# 证书文件 server.crt.pem
# 下面两行命令结果输出一致则为匹配的证书

openssl x509 -in server.crt.pem -pubkey -noout -outform pem |openssl md5
openssl pkey -in server.key.pem -pubout -outform pem |openssl md5


# 查看证书信息

openssl x509 -noout -text -in server.crt.pem

生成PFX格式证书

# 密钥文件 server.key.pem
# 证书文件 server.crt.pem
# PFX证书文件 server.pfx (默认密码为空)

openssl pkcs12 -export -passout pass: -in server.crt.pem -inkey server.key.pem -out server.pfx

检查 OCSP

# 中间证书 intermediate.pem
# 域名证书 server.crt.pem

openssl ocsp -text -no_nonce -url 'http://ocsp.globalsign.com/alphasslcasha256g4' -header 'HOST=ocsp.globalsign.com' -issuer intermediate.pem -cert server.crt.pem

注意事项

确认链接有效期 30 天
由于与邮箱链接的不确定性, 邮箱可能在1秒或1个星期内才会收到确认邮件.请耐心等待
由于 DNSPOD 的解析是非标准实现,会优化一些基本特性.
如果您使用的是 DNSPOD 托管域名, 申请前请先暂停解析该级域名下的 CNAME, A, MX 记录. 然后使用内置API辅助签发.
建议更换至华为云DNS(无需实名,无需手机号)或其他标准实现的DNS解析. (DOSPOD收费的功能华为云DNS几乎白给,TTL最短可设置为1)

转载自https://github.com/MoeClub/AlphaSSL

AlphaSSL 申请教程

AlphaSSL 申请教程 [前往申请]

AlpahSSL 证书申请流程概要

申请前须知

准备CSR并保存匹配的私钥

申请证书的步骤

内置API使用方法(强烈推荐,最快只需两分钟就可获得证书)

通过内置API邮箱手动确认邮件

补全证书链

将下面字段(证书链)粘贴至证书文件(server.crt.pem)末尾即可

GlobalSign GCC R6 AlphaSSL CA 2023 [2024/01/29 ~]

校验证书文件与密钥文件是否匹配

生成PFX格式证书

检查 OCSP

注意事项

评论

AlphaSSL 申请教程 [`前往申请`]

将下面字段`(证书链)`粘贴至证书文件`(server.crt.pem)`末尾即可