怎样申请签发AlphaSSL泛域名证书

2017年2月14日 | 分类: 【技术】

参考:https://moeloli.cc/78.html

【签发】

1. 选择“中国语”
2. 使用代理,否则无法过 reCAPTCHA。
2. 使用外国手机号,如选择“美国”,则手机号不填写最前面的1。页面会提示你使用此手机号发送一个6位数字的短信发送到一个国际电话号码。
3. 申请通配符Wilcard SSL证书,域名栏请填写*.yourdomain.com。如果填写 *.yourdomain.com,yourdomain.com,会报错不许多个域名。
4. 目标域名必须设置邮箱,比如 webmaster@yourdomain.com 。
5. “已完成签发请求,现在您可以关闭这个页面了”

生成CSR文件:

参考:http://amon.org/csr
工具:https://csr.chinassl.net/generator-csr.html

生成的CSR和KEY下载到本地,后面用的到。

https://ssl.ni-co.moe/ssl/create/free.html

https://www.chinassl.net/ssltools/generator-csr.html

https://www.sslaaa.com/tools//get_chain

2. 利用生成的CSR获取证书

打开:https://assl.loovit.net/

将刚才生成的CSR内容复制到对话框中。然后下面填写常用的邮箱以备接收生成好的证书。

1. 点击Verify验证按钮,弹出对话框,点击确定。
2. 验证CSR自动登录
3. 然后来到选择域名邮箱的页面
4. 点击域名whois邮箱后,系统会自动向域名whois邮箱发送一封邮件,点击邮件里的链接,单击“I Approve”按钮,然后系统会自动将生成的CRT证书以文本的形式发送到第二步输入的常用邮箱中。

3. 验证链接,接收域名证书

登录输入的常用邮箱,找到来自approval@globalsign.com的关于AlphaSSL的验证邮件。

1. 打开邮件,点击确认链接。
2. 在弹出的AlphaSSl页面中点击按钮 I Approve
3. 点击之后提示“现在将颁发SSL证书并通过电子邮件发送给申请人。”

中间证书:

这时再去收信,邮件末尾给出证书的文本版。

1. 把证书正文存为 signed.crt
2. 获取中间证书(选择 SHA-256 ) 把中间证书存为 intermediate_domain_ca.crt

网址:https://www.alphassl.com/support/install-root-certificate.html

-----BEGIN CERTIFICATE-----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 
-----END CERTIFICATE-----

3. 上传signed.crt 和 intermediate_domain_ca.crt,合并为chained.pem

参考:http://amon.org/intermediate-cert-missed

cat signed.crt intermediate_domain_ca.crt > chained.pem

【配置】


<virtualhost *:80>
	ServerName amon.org
	ServerAlias www.amon.org
	DocumentRoot /usr/local/apache2/htdocs/amon.org/
	ErrorLog /usr/local/apache2/htdocs/logs/amon.org_error.log
	CustomLog /usr/local/apache2/htdocs/logs/amon.org_access.log combined
	<Directory /usr/local/apache2/htdocs/amon.org/>
		Options Indexes FollowSymLinks
		AllowOverride All
		Require all granted
	</Directory>
</VirtualHost>

<virtualhost *:443>
	ServerName amon.org
	ServerAlias www.amon.org
	DocumentRoot /usr/local/apache2/htdocs/amon.org/
	ErrorLog /usr/local/apache2/htdocs/logs/amon.org_error.log
	CustomLog /usr/local/apache2/htdocs/logs/amon.org_access.log combined
	GnuTLSEnable on
	GnuTLSPriorities NORMAL
	GnuTLSCertificateFile /usr/local/apache2/htdocs/ssl/amon.org/chained.pem
	GnuTLSKeyFile /usr/local/apache2/htdocs/ssl/amon.org/domain.key
	<Directory /usr/local/apache2/htdocs/amon.org/>
		Options FollowSymLinks
		AllowOverride All
		Require all granted
	</Directory>
</virtualhost>

【问题】

没多久,使用火狐浏览器打开页面错误:

建立安全连接失败
连接到 amon.org 时发生错误。该 OCSP 响应不包括该证书被验证的状态。 错误代码:MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING

参考:https://blog.myssl.com/ocsp-must-staple/
参考:http://mozilla.com.cn/thread-317437-1-1.html

证书被吊销了?沃特!还是用 LE 的 WildCard 吧。

偶然发现了解决办法:

参考:https://www.v2ex.com/t/314722
参考:https://support.globalsign.com/customer/portal/articles/2970034-globalsign-ssl-products-intermediate-and-root-changes
参考:https://support.globalsign.com/customer/en/portal/articles/1464460-domainssl-intermediate-certificates

wget http://secure.globalsign.com/cacert/gsrsadvsslca2018.crt
cat signed.crt gsrsadvsslca2018.crt > chained.pem

然后重启服务器。现在OK了。