**说明:**目前基本上找不到免费的泛域名`SSL`证书申请渠道了,除了`3`个月的`Let’s Encrypt`,不过时长有点短,这里萌咖大佬就写了个`AlphaSSL`泛域名证书申请接口,申请后的证书有效时长为`1`年,可以给主域名及任意一个子域名使用,这里就说下申请方法,有需求就上。
“`
提示:为了防止滥用,所以签发是需要签发码的。
“`
## 注意
**签发出来的证书,有效期均为**`1`年。**
**签发无邮件重发功能,请确保能够收到邮件。(接收邮件延迟可能很大)**
**由于腾讯邮箱服务大概率接受不到邮件,暂时禁止`MX`记录解析腾讯的域名。
## 准备
* **将会使用 **`admin@domain.tld` 接收确认邮件及证书。例如:[admin@yyyoa.com](mailto:admin@yyyoa.com)(***必须***)
* **如遇到域名记录解析相关问题, 请检查域名注册商的**`DNSSEC配置`和域名解析提供商的`DNSSEC配置`是否同时开启或者同时关闭.
* **删除 CAA 记录, 可能会****无法成功签发证书**. (***必须***)
* **暂停解析 CNAME 记录, 可能会****无法收到证书确认邮件**. (***必须***) ** **
**(如果为主域申请证书,只需要暂停主域的 CNAME 解析. 不需要暂停子域名的 CNAME 解析.)**
* **如果没有域名邮箱, 可用`内置API邮箱`完成.**
* **AlphaSSL** 支持 **`RSA`** 和 **`ECC`** (`prime256v1`, `secp384r1`)
*
## 准备CSR,并保存匹配的私钥
“`
域名: `*.domian.tld`
`自行准备CSR文件`或使用[`在线工具生成`](https://www.chinassl.net/ssltools/generator-csr.html)
创建私钥文件 `server.key.pem`
新建空白文本文件(txt文档)
粘贴私钥内容到空白文本内并保存
将文件重命名为 `server.key.pem` 得到私钥文件
“`
## 准备邮箱
### 内置API邮箱使用方法(强烈推荐)
* **修改待申请证书的域名的 MX 记录(主域名一般为**`@`)
* **将 MX 记录解析至 **`api.moeclub.org` 权重 `10`
* **只保留这一条 MX 记录**
* **等待 MX 记录生效**
### 自建邮箱
**(待补充)**
### 通过内置API邮箱获得确认邮件
* **在填 CSR 的框框内填上 “MAIL” (不包括引号,仅4个字母)**
* **Apply Token 框内填申请时的 Apply Token**
* **点击 “Get AlphaSSL!”, 即可看到提示.**
## 申请证书步骤
**注意**: 如果使用`内置API邮箱`,请先查看并完成`内置API邮箱使用方法`章节的步骤.
“`
1. 填入准备的CSR和Apply Token信息, 点击 “Get AlphaSSL!”
2. 确认邮件.
3. 获得证书文件内容并`创建证书文件`
4. 将证书文件`(server.cert.pem)`与私钥文件`(server.key.pem)`打包成一组.
“`
## 创建证书文件
* **新建空白文本文件(txt文档)**
* **粘贴证书内容到空白文本内并保存**
* **将文件重命名为 **`server.cert.pem` 得到证书文件
## 其他申请方法
### 通过内置API获得证书
* **注意**:此项步骤前需要**确认邮件**
* **在填 CSR 的框框内填上 “VIEW” (不包括引号,仅4个字母)**
* **Apply Token 框内填申请时的 Apply Token**
* **点击 “Get AlphaSSL!”, 即可看到申请的证书(已补全证书链).**
* **注意**: 此项操作如果未查询到证书,将会自动重发确认邮件.
## 补全证书链(可选,部分需要)
* **将下面字段粘贴至证书文件**`(server.cert.pem)`末尾即可
“`
—–BEGIN CERTIFICATE—–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—–END CERTIFICATE—–
“`
## 注意事项
**确认链接有效期 **`30` 天
**由于与邮箱链接的不确定性, 邮箱可能在1秒或1个星期内才会收到确认邮件.请耐心等待 **
**由于 **`DNSPOD` 的解析是非标准实现,会**优化**一些基本特性.
**如果您使用的是 **`DNSPOD` 托管域名, 申请前请先暂停解析该级域名下的 CNAME, A, MX 记录. 然后使用内置API辅助签发.
**建议更换至**[**华为云DNS(无需实名,无需手机号)**](https://www.huaweicloud.com/intl/zh-cn/)或其他**标准实现**的DNS解析. (`DOSPOD`收费的功能`华为云DNS`几乎白给,TTL最短可设置为1)