背景:
众所周知,为站点开启 https 访问需要获得对应 host 的 ssl 证书,而如果希望证书被访客的浏览器所信任,需要拿到由 Certificate Authority (CA) 签发的 ssl 证书。在前一阵子那波 BAT 等大厂提供的云服务停止发放免费的由 TrustAsia/DigiCert 签发的一年有效期免费 ssl 证书之后,市面上已经没有被广泛信任的 CA 签发的免费的一年有效期的 ssl 证书了,于是不得不用回由 Let’s Encrypt/ZeroSSL 等 CA 签发三个月免费证书。
但话又说回来,三个月有效期确实不太够,一年有效期的证书就一年一更,手动申请部署也不麻烦;三个月有效期的证书手动就太麻烦了,经常忘记并且突然发现自己的网站无法放完,才发现是 SSL 证书到期了。
境外
通过 Cloudflare SaaS 接入的域名通过验证后会自动获得由 Cloudflare 提供的由 Google Trust Services 签发的证书,不需要我们操心。
SSL Certificate provided by Cloudflare
境内
咱选用的又拍云 CDN 提供了免费的 Let’s Encrypt 证书及其自动续期服务,但需要我们把图床访问域名的 DNS CNAME 解析到他们家。
SSL Certificate provided by upyun
这里有个问题,我们这套图床架构在境外的解析是解析到 Cloudflare 的,不可能通过 Let’s Encrypt 的 acme challenge。如果使用 upyun 申请 ssl 证书,则意味着每次更新都要我们手动将境外的 dns 解析记录暂时解析到又拍云,待证书更新成功后再解析回 Cloudflare,非常麻烦。
又拍云免费申请 Let’s Encrypt DV SSL 证书
1.实名注册并登录又拍云账号:
若没有账号,需先注册一个,可选择个人或企业身份注册,并完成实名认证(点我注册).
2.申请 SSL 证书:
a.创建服务并绑定域名(必须):
免费 SSL 证书服务是基于又拍云加速和存储产品的,因此需要先创建一个服务并绑定域名。绑定域名后,需要进行域名所有权验证,通常通过 CNAME 解析来完成,验证通过后才能申请 SSL 证书. (如何创建 CDN 服务)
b.申购 ssl 证书
登录又拍云控制台,依次点击“工具箱” -> “SSL 证书服务” -> “证书申购”,然后选择 Let’s Encrypt 免费证书服务。提交申请后,系统会自动验证域名所有权,通常 1-3 分钟即可完成验证.
在 SSL 证书服务页面,点击右上角的“申购证书”按钮,选择免费的 Let’s Encrypt DV SSL 证书进行申请.
c.验证域名(DNS CNAME)
- 返回到 SSL 证书服务页面,在申购证书界面点击“购买列表”找到对应的申购记录,点击“补全”.
- 在补全信息页面填写域名,此处填写的域名必须是已备案,提交申请后,等待 CA 机构审核域名所有权。审核通过后,证书将被颁发.
- 注意验证域名:注意区分主机值,非加速域名,在此处整错了。
使用第三方一键绑定和部署
具体可以参考以下链接:一行命令,轻松搞定 SSL 证书自动续签。
支持:nginx、通配符证书、七牛云、腾讯云、阿里云、CDN、OSS、LB(负载均衡)
