本文转自:https://hikami.moe/master/domain/4241.html
本文作者:希卡米
现在有很多证书签发商能签发免费的域名 SSL 证书,其中最出名的就是 Let’s Encrypt 了,不过他们家现在还不支持签发 IP 证书,这对于想给自己的 IP 签发证书的站长来说不免有些遗憾。这次给大家介绍的 ZeroSSL,也是一家类似 Let’s Encrypt 的证书签发商,注册成为他们的免费用户就可以签发出 90 天有效期的证书,但是不同的是,他们家能签发 IP 的 SSL 证书哦,这个就比较少见了~
说起 IP SSL 证书,可能有些人不解,我们平时都是用域名访问网站的,为什么要专门给 IP 签发证书呢?我自己的话主要有四方面的原因:
有些业务需要通过 IP 访问但不想明文传输,需要通过 HTTPS 连接保证传输安全
第一点虽然可以通过自签证书解决但是使用上不太方便
可以一定程度防止源站 IP 检测(Nginx 如果不做特别设置的话,使用 https://ip 的形式访问会默认返回绑定 443 端口的网站域名证书)IP 证书诶!白嫖的诶!它不香嘛!
话不多说,直接开始申请吧!
一、注册
ZeroSSL 官网:https://zerossl.com
不同于 Let’s Encrypt,ZeroSSL 是要注册才能申请免费证书的,另外虽然官方也支持 ACME 申请证书,但此渠道没办法用来签发 IP 证书,所以我们还是得用 Web 端来申请(信息来源:https://luotianyi.vc/5056.html)。
另外需要注意的是,ZeroSSL 限制每个账号能签发的免费证书数量为 3 个,不知道 ACME 有没有这个限制,如果需要签发更多证书的话需要付费,基础套餐每月 US$ 10。
二、申请
虽然 ZeroSSL 没有 Let’s Encrypt 申请证书那么自由,不过能免费签发 IP SSL 证书这点也确实很有优势,所以还是来说说申请过程吧。
注册完账号之后,申请证书的页面是这个样子的:
图里面这个 1.1.1.1 处就是要填写你自己要申请的 IP 的,我这里为了方便演示就随便写了 Cloudflare 的,如果是要申请普通的域名证书,那直接填写域名也行。填写完 IP,点击 Next Step 到下一步。
这一步就是选择申请证书的有效时间的,他默认选择的是 1-Year 一年的,记得要换成 90-Day Certificate(90 天有效期),一年的证书是要花钱才能用的。选择完成之后,继续 Next Step。
CSR 信息这个一般没需求的话让他自己自动生成(Auto-Generate CSR)就行了。
这一步就是让我们选择付费套餐了,上图里你可以看到各个套餐的区别(买不起买不起,我选择 Free 白嫖!)。
完成上面的设置之后,就会让你验证 IP 了。
因为我们申请的是 IP 证书,所以无法像常规的域名证书那样通过 DNS 来进行检验,只能通过 HTTP 文件的形式来验证 IP。具体操作是在服务器网站目录里创建 .well-known 文件夹,然后在其下面再创建 pki-validation 文件夹,之后把网站提供的验证文件下载上传到这个目录里,点击验证就行了。
上面这一步需要注意的是,你要确保你的 IP 是能通过 http://ip 这种形式访问的,当然不需要访问之后有什么实际内容,只要 http://ip/.well-known/pki-validation/xxx.txt(网站提供的验证文件)这个网址能打开并下载到文件就可以了。
验证完成之后,就会看到上面的成功签发提示了,然后选择自己 Web Server 的类型,点击 Download Certificate 就能下载到签发出来的 IP 证书。
这里小小的提醒一下,ZeroSSL 签发的证书没有合并 CA,给你的是三个文件(ca_bundle.crt,certificate.crt,private.key),我们如果直接使用可能会有点问题,所以在使用之前最好先把 ca_bundle.crt 和 certificate.crt 这两个证书合并一下。合并方法也挺简单的,直接新建一个 .pem 的文件,把 certificate.crt 里的内容复制到这个 pem 文件里,然后接着在后面把 ca_bundle.crt 里的内容复制进去就行了(注:这几个文件都可以直接使用文本编辑器打开编辑)。最后那个 private.key 我就不说了,直接用就行。
三、测试
本来我是想用 SSL Labs 来测试证书的,但是好像他家普通的测试不支持 IP 证书,所以换用 myssl.com 来给大家看下证书效果吧。
可以看到签发出来的是 RSA 证书,不是 ECC 证书有点点可惜了。另外就是证书品牌这个写的是 Comodo,实际上现在他家已经改名叫 Sectigo 了,不过东西是一样的东西。
PS:突然想起来一个事情,我最初开始使用 SSL 证书的时候,用的就是 Comodo 家的证书,当时记得就属他家卖得最便宜来着。=_=
结束
好久没说 SSL 证书相关的东西了,这次写了篇比较简单的分享文算是充实下分类吧,实际上申请过程都没有什么特别好说的,只要稍微能看懂些英文照着提示一步步操作很快就能拥有自己的 IP 证书的。
说起 IP 证书,以前我记得是只有掏钱买 OV 证书才能签的,这次还是我第一次发现不需要掏钱就能签的,感觉挺好的,希望以后也能有越来越多的免费 IP SSL 证书可用吧。