【代签】
https://vip.cy/other/certificate.html?spm=77.5
https://store.vip.cy/product/16.html?spm=53.3
【签发】
1. 选择“中国语”
2. 使用代理,否则无法过 reCAPTCHA。
2. 使用外国手机号,如选择“美国”,则手机号不填写最前面的1。页面会提示你使用此手机号发送一个6位数字的短信发送到一个国际电话号码。
3. 申请通配符Wilcard SSL证书,域名栏请填写*.yourdomain.com。如果填写 *.yourdomain.com,yourdomain.com,会报错不许多个域名。
4. 目标域名必须设置邮箱,比如 [email protected] 。
5. “已完成签发请求,现在您可以关闭这个页面了”
生成CSR文件:
参考:https://amon.org/csr
工具:https://csr.chinassl.net/generator-csr.html
生成的CSR和KEY下载到本地,后面用的到。
https://ssl.ni-co.moe/ssl/create/free.html
https://www.chinassl.net/ssltools/generator-csr.html
https://www.sslaaa.com/tools//get_chain
2. 利用生成的CSR获取证书
将刚才生成的CSR内容复制到对话框中。然后下面填写常用的邮箱以备接收生成好的证书。
1. 点击Verify验证按钮,弹出对话框,点击确定。
2. 验证CSR自动登录
3. 然后来到选择域名邮箱的页面
4. 点击域名whois邮箱后,系统会自动向域名whois邮箱发送一封邮件,点击邮件里的链接,单击“I Approve”按钮,然后系统会自动将生成的CRT证书以文本的形式发送到第二步输入的常用邮箱中。
3. 验证链接,接收域名证书
登录输入的常用邮箱,找到来自[email protected]的关于AlphaSSL的验证邮件。
1. 打开邮件,点击确认链接。
2. 在弹出的AlphaSSl页面中点击按钮 I Approve
3. 点击之后提示“现在将颁发SSL证书并通过电子邮件发送给申请人。”
中间证书:
这时再去收信,邮件末尾给出证书的文本版。
1. 把证书正文存为 signed.crt
2. 获取中间证书(选择 SHA-256 ) 把中间证书存为 intermediate_domain_ca.crt
网址:https://www.alphassl.com/support/install-root-certificate.html
-----BEGIN CERTIFICATE----- MIIETTCCAzWgAwIBAgILBAAAAAABRE7wNjEwDQYJKoZIhvcNAQELBQAwVzELMAkG A1UEBhMCQkUxGTAXBgNVBAoTEEdsb2JhbFNpZ24gbnYtc2ExEDAOBgNVBAsTB1Jv b3QgQ0ExGzAZBgNVBAMTEkdsb2JhbFNpZ24gUm9vdCBDQTAeFw0xNDAyMjAxMDAw MDBaFw0yNDAyMjAxMDAwMDBaMEwxCzAJBgNVBAYTAkJFMRkwFwYDVQQKExBHbG9i YWxTaWduIG52LXNhMSIwIAYDVQQDExlBbHBoYVNTTCBDQSAtIFNIQTI1NiAtIEcy MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA2gHs5OxzYPt+j2q3xhfj kmQy1KwA2aIPue3ua4qGypJn2XTXXUcCPI9A1p5tFM3D2ik5pw8FCmiiZhoexLKL dljlq10dj0CzOYvvHoN9ItDjqQAu7FPPYhmFRChMwCfLew7sEGQAEKQFzKByvkFs MVtI5LHsuSPrVU3QfWJKpbSlpFmFxSWRpv6mCZ8GEG2PgQxkQF5zAJrgLmWYVBAA cJjI4e00X9icxw3A1iNZRfz+VXqG7pRgIvGu0eZVRvaZxRsIdF+ssGSEj4k4HKGn kCFPAm694GFn1PhChw8K98kEbSqpL+9Cpd/do1PbmB6B+Zpye1reTz5/olig4het ZwIDAQABo4IBIzCCAR8wDgYDVR0PAQH/BAQDAgEGMBIGA1UdEwEB/wQIMAYBAf8C AQAwHQYDVR0OBBYEFPXN1TwIUPlqTzq3l9pWg+Zp0mj3MEUGA1UdIAQ+MDwwOgYE VR0gADAyMDAGCCsGAQUFBwIBFiRodHRwczovL3d3dy5hbHBoYXNzbC5jb20vcmVw b3NpdG9yeS8wMwYDVR0fBCwwKjAooCagJIYiaHR0cDovL2NybC5nbG9iYWxzaWdu Lm5ldC9yb290LmNybDA9BggrBgEFBQcBAQQxMC8wLQYIKwYBBQUHMAGGIWh0dHA6 Ly9vY3NwLmdsb2JhbHNpZ24uY29tL3Jvb3RyMTAfBgNVHSMEGDAWgBRge2YaRQ2X yolQL30EzTSo//z9SzANBgkqhkiG9w0BAQsFAAOCAQEAYEBoFkfnFo3bXKFWKsv0 XJuwHqJL9csCP/gLofKnQtS3TOvjZoDzJUN4LhsXVgdSGMvRqOzm+3M+pGKMgLTS xRJzo9P6Aji+Yz2EuJnB8br3n8NA0VgYU8Fi3a8YQn80TsVD1XGwMADH45CuP1eG l87qDBKOInDjZqdUfy4oy9RU0LMeYmcI+Sfhy+NmuCQbiWqJRGXy2UzSWByMTsCV odTvZy84IOgu/5ZR8LrYPZJwR2UcnnNytGAMXOLRc3bgr07i5TelRS+KIz6HxzDm MTh89N1SyvNTBCVXVmaU6Avu5gMUTu79bZRknl7OedSyps9AsUSoPocZXun4IRZZ Uw== -----END CERTIFICATE-----
3. 上传signed.crt 和 intermediate_domain_ca.crt,合并为chained.pem
参考:https://amon.org/intermediate-cert-missed
cat signed.crt intermediate_domain_ca.crt > chained.pem
【配置】
<virtualhost *:80> ServerName amon.org ServerAlias www.amon.org DocumentRoot /usr/local/apache2/htdocs/amon.org/ ErrorLog /usr/local/apache2/htdocs/logs/amon.org_error.log CustomLog /usr/local/apache2/htdocs/logs/amon.org_access.log combined <Directory /usr/local/apache2/htdocs/amon.org/> Options Indexes FollowSymLinks AllowOverride All Require all granted </Directory> </VirtualHost> <virtualhost *:443> ServerName amon.org ServerAlias www.amon.org DocumentRoot /usr/local/apache2/htdocs/amon.org/ ErrorLog /usr/local/apache2/htdocs/logs/amon.org_error.log CustomLog /usr/local/apache2/htdocs/logs/amon.org_access.log combined GnuTLSEnable on GnuTLSPriorities NORMAL GnuTLSCertificateFile /usr/local/apache2/htdocs/ssl/amon.org/chained.pem GnuTLSKeyFile /usr/local/apache2/htdocs/ssl/amon.org/domain.key <Directory /usr/local/apache2/htdocs/amon.org/> Options FollowSymLinks AllowOverride All Require all granted </Directory> </virtualhost>
【问题】
没多久,使用火狐浏览器打开页面错误:
建立安全连接失败
连接到 amon.org 时发生错误。该 OCSP 响应不包括该证书被验证的状态。 错误代码:MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING
参考:https://blog.myssl.com/ocsp-must-staple/
参考:http://mozilla.com.cn/thread-317437-1-1.html
证书被吊销了?沃特!还是用 LE 的 WildCard 吧。
偶然发现了解决办法:
参考:https://www.v2ex.com/t/314722
参考:https://support.globalsign.com/customer/portal/articles/2970034-globalsign-ssl-products-intermediate-and-root-changes
参考:https://support.globalsign.com/customer/en/portal/articles/1464460-domainssl-intermediate-certificates
wget http://secure.globalsign.com/cacert/gsrsadvsslca2018.crt cat signed.crt gsrsadvsslca2018.crt > chained.pem
然后重启服务器。现在OK了。