SSL For Free 多域名(Multi-Domin SSL Certificate)要收費,改用FreeSSL.cn解決流程分享

最近收到 SSL For Free 來信通知他們加入 ZeroSSL 線上申請 SSL 憑証申請工具,起初小編以為只是更換申請介面,不以為意。正好這個月要續約公司的網域,赫然發現 SSL For Free 改用 ZeroSSL 工具後,若你是要一次申請多網域或多個子網域在同一張憑證時,變得要收費用了 …

小編的使用環境:

  • Windows Server 2008 R1 SP1
  • IIS 7.5
  • 八個子網域

在這邊說明一下之前有網友提醒小編將 IIS 升級到 8.0 以上的版本就不用擔心只能用一張憑證的問題,不過每新增一個子網域就要申請一張,且維護上也很困難,且 Let’s Encrypt 當初的精神就是萬用網域也是免費使用!要收費真的有些許不合理,若你跟小編一樣有此困擾的話,可以來參考這篇。

在小編努力找尋其他的免費 SSL 申請工具,意外的找到這家 FreeSSL.cn 可以滿足小編的需求,那麼就來分享一下小編的申請流程!
網址:https://freessl.cn/

1. 進入申請網頁後,輸入你要申請的網址,若你跟小編一樣有多組子網域要一起申請,您就用萬用字元「*」來代表申請即可。如 *.abc.com.tw,輸入完成,在選擇品牌,請勾選「Let’s Encrypt V2」,完成後,請點選「創建免費的SSL證書」。

2. 申請資料請輸入你管裡的電子郵件,確認申請域名,這裡因為我是直接申請多網域憑證,所以會出現兩個網域,一個是「*.abc.com.tw」和「abc.com.tw」,別懷疑那是正確的!在來確認你的證書品牌是否正確,證書類型與驗證類型請選擇預設(RSA / DNS),最後 CSR 生成,請選擇「瀏覽器生成」,都設定好就選擇「點擊創建」。

3. 關於 CSR 生成的方式,FreeSSL.cn 提供四種方式,在下面都有完整說明,前面兩種還需要安裝官方的 KeyManager 來管理和生成金鑰,若你跟小編一樣使用網頁驗證方式的話,就選擇「瀏覽器生成」即可。

4. 接著要做 DNS 驗證,您需要按照下面紅框的說明設置到你申請網域管理的 DNS 服務。

5. 如小編就以 Pchome 代管 DNS 來說明,新增一筆 TXT 紀錄類型,主機就輸入「_acme-challenge」,地址就輸入上圖的紀錄值。有兩筆就輸入兩筆,不能只能其中一筆喔!
注意:這裡的DNS服務是需要對外可以正常解析的 DNS,而不能使用內部未對外的 DNS 服務喔!

6. DNS服務設定完成後,回到 DNS 驗證頁面,點選每個網域右下角的「配置完成,檢測一下」,確認是否可以正常解析你剛剛設定的 TXT 紀錄。

7. 到 DNS 診斷工具頁面,直接點選「檢測」按鈕,等待一段時間,會出現如下圖紅框檢測結果,三個地區都出現匹配,即代表解析沒有問題。
注意 1. 檢測結果其實只要其中一個地區有匹配就可以通過檢測。
注意 2. 若一開始都匹配不過,請別急,並不見得是你 DNS 設置上的問題,有時候因為 DNS 同步時間的關係,會需要等待一段時間。(尤其小編示範的 Pchome DNS 代管就真的讓小編等到 2 小時才匹配成功 …)

8. 回到 DNS 驗證頁面,每個域名都確認檢測匹配沒有問題後,直接點選最下面的「點擊驗證」。

9. 接著 SSL 的證書就產生出來囉,包含私密金鑰!直接點選「下載文件」。

10. 會下載一份 _.abc.com.tw.zip 壓縮檔案,直接解壓縮會產生證書文件「full_chain.pem」和私密金鑰「private.key」。這時候你一定會問,怎麼跟之前的 SSL For Free 不一樣,要怎麼產生 IIS 需要的 PKCS12 格式的 pfx 憑證檔案?別急,慢慢看一下去,小編繼續介紹另一個網站好用的工具。

11. 請到 MySSL.com 網站的證書查看工具,先確認你的證書內容,網址:https://myssl.com/csr_decode.html
點選上「傳文件或輸入編碼」,將你剛剛解壓縮的證書「full_chain.pem」上傳上去,在點選「證書查看」。

12. 先確認你的證書內容是否正確,如證書品牌、頒發日期和截止日期,及最重要的是你的網域名稱是否正確。

13. 在到 MySSL.com 網站的證書格式轉換工具,轉換 IIS 所需要 PKCS12 格式的 pfx 憑證,網址:https://myssl.com/cert_convert.html,並按照如下格式設定:

  • 原格式:PEM
  • 目標格式:PKCS12
  • 證書文件:「full_chain.pem」上傳上去
  • 私鑰文件:「private.key」上傳上去

  • 私鑰密碼:(不需要輸入)
  • 新文件密碼:請取自己熟悉的密碼
  • 新文件密碼確認:同上述密碼再輸入一次
  • 設定完成按「提交」。

14. 接著就會自動下載 _.abc.com.tw.pfx 憑證檔案囉!

15. 接下來就跟之前教的方式一樣匯入到 IIS 就可以繼續使用 Let’s Encrypt 憑證三個月啦!
若忘記可以參閱:使用 SSL For Free 產生 Let’s Encrypt SSL 憑證上傳給 IIS 站台使用一文中第 11 點開始。

打完收工。

 

發表留言

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料