澳门葡萄京官方网站 1

SSL证书,用于加密HTTP协议,也就是HTTPS。随着淘宝、百度等网站纷纷实现全站Https加密访问,搜索引擎对于Https更加友好,加上互联网上越来越多的人重视隐私安全,给网站添加SSL证书似乎成为了一种趋势。

自从换了新公司啥事都要我来操心,遇到很多问题,其中就有ssl多域名证书,单一域名免费的很多,但是多域名ssl证书免费还是很少的,一般都是收费的,但是通过Google搜到免费的多域名ssl证书的生成

目前已经存在不少免费好用的 SSL 证书,因此,本文就来盘点一下关于免费
SSL 证书的那些事儿。文章重点介绍了几个可以在线申请的免费 SSL
证书的网址,以及个人点评。

Let’s Encrypt

一、Let’s Encrypt

根据 Let’s Encrypt CA 的统计,截至 2017 年 11 月,Firefox
加载的网页中启用 HTTPS 的比例占 67%,比去年底的 45%
有巨大提升。浏览器开发商如 Mozilla, Google 准备采取下一步措施:将所有
HTTP 网站标记为不安全。

Let’s Encrypt是国外一个公共的免费SSL项目,由
Linux基金会托管,它的来头不小,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,目的就是向网站自动签发和管理免费证书,以便加速互联网由HTTP过渡到HTTPS,目前Facebook等大公司开始加入赞助行列。

随着 HTTPS 的普及,给网站加个 SSL 证书已经是大势所趋而且很有必要了。

Let’s Encrypt已经得了
IdenTrust的交叉签名,这意味着其证书现在已经可以被Mozilla、Google、Microsoft和Apple等主流的浏览器所信任,你只需要在Web服务器证书链中配置交叉签名,浏览器客户端会自动处理好其它的一切,Let’s
Encrypt安装简单,未来大规模采用可能性非常大。

澳门葡萄京官方网站 2

目前已经存在不少免费好用的 SSL 证书,因此,本文就来盘点一下关于免费 SSL
证书的那些事儿。

Let’s Encrypt 的最有价值的贡献是它的 ACME
协议,第一份全自动服务器身份验证协议,以及配套的基础设施和客户端。这是为了解决一直以来HTTPS
TLS X.509 PKI 信任模型,即证书权威(Certificate Authority,
CA)模型缺陷的一个起步。

1、Let’s Encrypt是国外一个公共的免费SSL项目,由 Linux
基金会托管,它的来头不小,由Mozilla、思科、Akamai、IdenTrust和EFF等组织发起,目的就是向网站自动签发和管理免费证书,以便加速互联网由HTTP过渡到HTTPS。

一、Let’s Encrypt

官方网站:

点评:毫无疑问,Let’s Encrypt
是目前使用范围最为广泛的免费 SSL
证书,而且其官方博客宣布,自
2018 年开始提供通配符 SSL 证书,也就是 wildcard
certificates。这对于广大个人站长来说,无疑是个不错的利好消息。唯一的缺憾就是,Let’s
Encrypt 发行的证书有效期只有 3 个月,虽然可以通过定时任务来自动续期。

如何申请?可以通过安装 LAMP 后,使用 lamp add
命令来自动创建 SSL 证书。也可以通过以下在线申请网站,手动申请证书。

在线申请网址1(中文):
在线申请网址2(英文):
在线申请网址3(英文):

经过我的测试,推荐通过

2、Let’s
Encrypt安装部署简单、方便,目前Cpanel、Oneinstack等面板都已经集成了Let’s
Encrypt一键申请安装,网上也有不少的利用Let’s
Encrypt开源的特性制作的在线免费SSL证书申请网站,总之Let’s
Encrypt得到大家的认可。

二、TrustAsia

官方网站:

点评:TrustAsia 是国内一家新兴的 SSL
证书提供商,赛门铁克(Symantec)亚太区的白金合作伙伴。随着 Symantec 的 CA
业务被 DigiCert 收购完成,其证书链也从 Symantec 变为
DigiCert。现在也开始提供免费 1 年期的 DV SSL 证书。

在线申请网址:

申请免费SSL证书步骤的详细介绍:

1、免费SSL证书Let’s
Encrypt安装使用教程:Apache和Nginx配置SSL

三、AlwaysOnSSL

官方网站:

点评:AlwaysOnSSL
是一个新的免费和自动认证机构。它由 CertCenter 和 Digicert 运行,免费提供
6 个月的 DV SSL 证书。

在线申请网址:

一、登录 TOOLS”
按钮,选择在线方式申请免费SSL证书。

二、StartSSL

四、Comodo

官方网站:

点评:在 Let’s Encrypt 没有问世之前,Comodo
的市场占有率是第一位。随着 Let’s Encrypt 的盛行,Comodo 在 DV SSL
市场占有率逐渐下降,但依然是 SSL 的龙头企业。目前 Comodo 也提供免费 90
天的免费 DV SSL 证书。

在线申请网址1:
在线申请网址2:

备注:100TB 免费提供 1 年期的 Comodo
证书,前提是需要注册为会员后才能在后台申请。100TB
的规定是,发行的证书只能在他们家的产品上使用,否则会有被吊销的风险。申请时,请自备
CSR(Certificate Signing Request),这里有 CSR
在线生成工具。参考网址:

第一步、登录

五、Cloudflare

官方网站:

点评:Cloudflare 很早就开始提供免费 SSL
证书,前提是你的域名要放在 Cloudflare 解析,注册为 Free Plan 就可以。

备注:只要域名加入 Cloudflare Free Plan,解析 A 记录的时候,点击
Traffic to this hostname will go through
Cloudflare,就可以了。一般情况下,这个免费的 Universal SSL
里会包含一大堆别人的域名(该证书也是 Comodo
发行的)。当然,如果你比较介意这个的话,可以付费购买其 Dedicated SSL
Certificate ($5/month) 或 Dedicated SSL Certificate with Custom
Hostnames ($10/month)。

说明:这里也提供下载软件,安装在本地PC上,运行的办法。但由于这是国外网站,下载速度较慢,而且在线直接申请很简单,不推荐使用本地安装软件的方式。

澳门葡萄京官方网站 3

六、AlphaSSL

官方网站:

点评:其实 AlphaSSL 并不免费提供 SSL 证书,而且价格不菲。但是 AlphaSSL
跟 SingleHop 有合作关系,免费给 SingleHop 的客户发行证书,甚至包括通配符
SSL
证书。有人根据这个规则,开发了个自动发行证书的工具。详见:

也就是说,只要你有了 SingleHop
的服务,就可以使用你的帐号密码以及该工具去当个活雷锋了。但是,不可避免地,这样的活雷锋是当不了多久的。一般其下场会因为滥用被
SingleHop 给关闭账户。

值得注意的是,如果你申请了这个 SSL 证书,就要有 SSL
证书随时可能被吊销的觉悟。
详情始末的参考网址:

在线申请网址:

二、点击“START”按钮,开始申请SSL证书

1、StartSSL是StartCom公司旗下的SSL证书,应该算是免费SSL证书中的“鼻祖”,最早提供完全免费的SSL证书并且被各大浏览器所支持的恐怕就只有StartSSL证书了。任何个人都可以从StartSSL中申请到免费一年的SSL证书。

尾声:

自从 Let’s encrypt 开始提供免费 DV SSL 后,SSL
证书市场就已经开始洗牌了。

值得一提的是 StarCom 原本是一家以色列的证书商,提供免费和收费的 SSL
证书,后被国内公司 360 收购。曾在 CA 市场也有一席之地,StartCom
的问题在于被发现允许对证书的签发日期进行倒填,从而达到规避 SHA1 证书在
2016 年 1 月 1 日之后被浏览器警告的目的。最终于 2017 年 11 月 16
日,StartCom 宣布终止业务,自 2018 年 1 月 1 日起停止颁发新证书,并于
2020 年停止 OCSP 和 CRL 服务。

沃通(Wosign)也属于类似情况,被 Mozilla 认为 WoSign
最严重的问题是伪造(或者说人为设置)了证书签发日期,相继被 Mozilla 和
Chrome 不信任,最终导致出局。

最后,随着 https 的广泛被适用,我们也乐于看到越来越多的 CA
开始提供免费的 DV SSL 证书。

转载自:秋水逸冰 » 关于免费SSL证书的那些事儿

第二步、点击“START”按钮

2、首次申请StartSSL免费SSL证书是免费一年,但是你可以在第二年继续续期。之前StartSSL管理SSL证书只有本地浏览器安装数字证书一种,所以一旦本地的数字证书丢失的话就无法获取到自己之前申请的证书了,不过现在已经增加了邮箱登录了。

三、配置

3、如果你有看新闻,也许已经知道了“Mozilla正式提议将停止信任 WoSign 和
StartCom 签发的新证书”,对于StartSSL请观察事态发展后再谨慎使用。

配置

1、新StartSSL免费SSL证书申请使用:Apache和Ngnix安装配置SSL证书

1.
“在第1步”的红色提示处,输入自己的电子邮箱。这是可选项,也可以选择不输入。

三、COMODO PositiveSSL

  1. “在第2步”的红色提示处,输入需要Https加密访问的网址。

  2. “在第3步”的红色提示处,必须勾选”HTTP verification”。

  3. “在第4步”的红色提示处,”Accept ZeroSSL TOS”和”Accept Let’s Encrypt
    SA(pdf)”。

  4. “在第5步”的红色提示处,点击”NEXT”按钮。

6.
点击”NEXT”按钮后,页面有弹窗询问你是否生成没有”www”的网址的SSL证书格式。个人建议点击“No”按钮,因为在之后的验证环节,这种模式的在线验证有可能失败。

澳门葡萄京官方网站 4

开始生成CSR

1、COMODO官网只有免费90天的SSL证书试用申请,这个COMODO
PositiveSSL证书来自UK2公司,VPS.net等就是UK2公司旗下的产品。目前获取UK2提供的免费COMODO
PositiveSSL不需要额外的操作,只需要你将域名的IP地址解析到指定的IP即可。

7.
选择是否生成没有”www”的网址的SSL证书格式的弹窗后,开始生成CSR,如上图所示,需要等一会儿。

2、先把域名解析到UK2公司的服务器上,然后在网页上获取SSL证书并下载,最后你就可以解除域名解析,同时将下载的域名证书文件上传到服务器配置SSL即可。不过由于是UK2提供的COMODO
PositiveSSL免费证书,如果你没有用他们的主机总归不知道哪一天会出问题的。

CSR生成

1、申请和安装COMODO
PositiveSSL免费证书及利用VPS自己签发SSL证书

8 . 如上图所示,CSR生成后,点击“NEXT”按钮,用于生成account key

四、CloudFlare
SSL

正在生成RSA Private Key.

  1. 如上图所示,又需要等一会儿,生成了下图所示的RSA Private Key.
    建议点击红色方框所示的下载按钮下载已经生成RSA Private
    Key和CSR,以防之后验证失败或意外网络中断需要重复申请RSA Private
    Key和CSR。点击“NEXT”按钮进入验证环节。

澳门葡萄京官方网站 5

四、验证

1、CloudFlare提供的免费SSL证书是UniversalSSL,即通用SSL,用户无需向证书发放机构申请和配置证书就可以使用的SSL证书,CloudFlare向所有用户(包括免费用户)提供SSL加密功能。

1.
进入验证页面后,根据要求使用get方式访问”

2、不过Universal
SSL的服务对免费用户有限制,CloudFlare只支持扩展支持Server Name
Indication(SNI)协议的现代浏览器,这意味着它不支持IE6及之前版本、运行Android
2.2或更旧版本的Android浏览器。

验证页面

1、免费SSL证书:CloudFlare
SSL和Wosign沃通SSL申请开通和安装使用

2.
为了达到验证的目的,可以使用2种方式,即在Nginx或Apache中设置静态访问文件,

五、Wosign沃通SSL

或者修改web程序。我选择修改程序,以下是node.js的程序代码的例子:

router.get(‘/.well-known/acme-challenge/:id’, function(req, res) {

 
res.send(‘T8YJS_____________________________7tw8r5txSg’);

});


  1. 在服务器验证设置好后,在验证页面点击“NEXT”按钮进行验证。

五、 导出生成的SSL证书

导出生成的SSL证书

到了这个页面就生成了正式的SSL证书,请下载红色方块所示的证书和密钥。

注意:这个免费SSL证书有效期为90天,到期后可以免费续期,即重复这个注册过程,再次生成新的免费SSL证书。

注意:下载的证书文件的名称是”domain-crt.txt”,需要修改名称为”domain.crt”。

注意:下载的密钥的名称是domain-key.txt,需要修改名称为”domain.key”。

注意:记得一定要修改这两个文件,名称无所谓,但证书文件的文件扩展名必须是”.crt”,
密钥的文件扩展名必须是”.key”。我在这里踩了坑,没有改扩展名,造成nginx找不到这两个文件。

六、设置web服务器

我的服务器用的是nginx,nginx的配置文件”nginx.conf”的代码如下:

user nginx;

worker_processes auto;

error_log /var/log/nginx/error.log;

pid /var/run/nginx.pid;

events {

     worker_connections 1024;

}

http {

    log_format  main  ‘$remote_addr – $remote_user [$time_local]
“$request” ‘

                                 ‘$status $body_bytes_sent
“$http_referer” ‘

                                  ‘”$http_user_agent”
“$http_x_forwarded_for”‘;

    access_log  /var/log/nginx/access.log  main;

    sendfile            on;

    tcp_nopush          on;

    tcp_nodelay        on;

    keepalive_timeout  65;

    types_hash_max_size 2048;

    include            /etc/nginx/mime.types;

    default_type        application/octet-stream;

    server {

         listen  80;

         server_name  需要访问的网址;

        rewrite ^(.*)$ permanent;

        #强制见80端口的访问转到443的加密端口

        location / {

             proxy_set_header X-Real-IP $remote_addr;

             proxy_set_header X-Forwarded-For
$proxy_add_x_forwarded_for;

             proxy_set_header Host $http_host;

             proxy_set_header X-NginX-Proxy true;

             proxy_pass ;

             proxy_redirect off;

         }

    }

    server {

        listen 443 ssl;

        server_name 需要访问的网址;

        ssl on;

        ssl_certificate 服务器存放ssl证书文件绝对路径/domain.crt;

        ssl_certificate_key
服务器存放ssl证书密钥文件绝对路径/domain.key;

        location / {

            proxy_set_header X-Real-IP $remote_addr;

            proxy_set_header X-Forwarded-For
$proxy_add_x_forwarded_for;

            proxy_set_header Host $http_host;

            proxy_set_header X-NginX-Proxy true;

            proxy_pass ;

            proxy_redirect off;

        }

    }

}


对于Apache或者IIS的设置,我不太熟悉,请大家自行百度吧。


我也研究了一下其它提供免费SSL证书网站,向大家做个介绍,仅供参考:

StartCom

StartSSL是StartCom公司旗下的SSL证书,应该算是免费SSL证书中的“鼻祖”,最早提供完全免费的SSL证书并且被各大浏览器所支持的恐怕就只有StartSSL证书了。任何个人都可以从StartSSL中申请到免费一年的SSL证书。如果你有看新闻,也许已经知道了“Mozilla正式提议将停止信任
WoSign 和 StartCom
签发的新证书”,对于StartSSL请观察事态发展后再谨慎使用。

COMODO

COMODO官网只有免费90天的SSL证书试用申请,这个COMODOPositiveSSL证书来自UK2公司,VPS.net等就是UK2公司旗下的产品。目前获取UK2提供的免费COMODO
PositiveSSL不需要额外的操作,只需要你先把域名解析到UK2公司的服务器上,然后在网页上获取SSL证书并下载,最后你就可以解除域名解析,同时将下载的域名证书文件上传到服务器配置SSL即可。不过由于是UK2提供的COMODO
PositiveSSL免费证书,如果你没有用他们的主机总归不知道哪一天会出问题的。

CloudFlare

CloudFlare提供的免费SSL证书是UniversalSSL,即通用SSL,用户无需向证书发放机构申请和配置证书就可以使用的SSL证书,CloudFlare向所有用户(包括免费用户)提供SSL加密功能。不过Universal
SSL的服务对免费用户有限制,CloudFlare只支持扩展支持Server Name
Indication(SNI)协议的现代浏览器,这意味着它不支持IE6及之前版本、运行Android
2.2或更旧版本的Android浏览器。

Wosign沃通

Wosign沃通是国内一家提供SSL证书服务的网站,其免费的SSL证书申请比较简单,在线开通,一个SSL证书只能对应一个域名,支持证书状态在线查询协议(OCSP)。不过,受“Mozilla正式提议将停止信任WoSign
和 StartCom 签发的新证书”的影响,请观察后再决定是否使用。

腾讯云

腾讯云DV SSL 域名型证书由赛门铁克提供自动审核认证,快速签发,支持自动
CSR 生成、域名身份 DNS
自动验证,一步提交申请,审核签发流程全自动。可以一键部署到腾讯云资源。需要注意的是必须使用腾讯云才能够使用DV
SSL 域名型证书,腾讯云可是收费的。

360网站卫士、百度云加速与Symantec等合作推出了免费的SSL证书,其实类似于上面的腾讯云DV
SSL证书,只不过360网站卫士如果要使用SSL证书必须得实名认证而且还得使用他们家的CDN。而百度云加速则只能使用百度云服务器才可以申请免费SSL证书。

澳门葡萄京官方网站 6

1、Wosign沃通是国内一家提供SSL证书服务的网站,其免费的SSL证书申请比较简单,在线开通,一个SSL证书只能对应一个域名,支持证书状态在线查询协议(OCSP)。

2、由于Wosign沃通SSL是一家国内的SSL服务商,所以SSL证书申请和管理都比较简单,并且网站使用的是中文有问题还可以联系客服。不过,受“Mozilla正式提议将停止信任
WoSign 和 StartCom 签发的新证书”的影响,请观察后再决定是否使用。

1、免费SSL证书:CloudFlare
SSL和Wosign沃通SSL申请开通和安装使用

六、腾讯云DV SSL 证书

澳门葡萄京官方网站 7

1、腾讯云DV SSL 域名型证书由赛门铁克提供自动审核认证,快速签发,支持自动
CSR 生成、域名身份 DNS
自动验证,一步提交申请,审核签发流程全自动。可以一键部署到腾讯云资源,轻松获得数据安全。

1、免费DV SSL证书和AlphaSSL Wildcard SSL证书申请-腾讯云SSL和loovit.net
AlphaSSL

七、loovit.net AlphaSSL

澳门葡萄京官方网站 8

1、loovit.net
是国外一个网站,背景不详,只是从今年四月份开始陆续有朋友告诉我这个网站提供了免费AlphaSSL证书申请,部落自己试了一下发现申请容易,但是成功率并不是100%。

1、免费DV SSL证书和AlphaSSL Wildcard SSL证书申请-腾讯云SSL和loovit.net
AlphaSSL

八、360网站卫士、百度云加速免费SSL

澳门葡萄京官方网站 9

1、360网站卫士、百度云加速与Symantec等合作推出了免费的SSL证书,其实类似于上面的腾讯云DV
SSL
证书,只不过360网站卫士如果要使用SSL证书必须得实名认证而且还得使用他们家的CDN。而百度云加速则只能使用百度云服务器才可以申请免费SSL证书。

1、360网站卫士免费DNS和CDN申请使用及CDN缓存无法切换移动主题

2、百度云加速国内免费CDN加速服务使用-百度蜘蛛DNS同步功能