#教程# – 简单申请萌咖29元/年 SSL通配符AlphaSSL证书及NGINX配置

前言

因为这段时间网站的收录一直在掉，始终着不到原因，1 月初把 DNS 从 DNSLA 换到 Route53 也没有改善，想着干脆把域名证书也换掉，就申请了萌咖的 29 元/年的通配符证书，反正也便宜，就当给网站的新年礼物了。

申请教程

首先萌咖的官网也提供了 AlphaSSL 申请教程，但我觉得他这教程提供的选择太多，很灵活，很多人估计看着懵逼，下面我直接分享我的步骤。

下单购买

在萌咖的官网 点这里 下单购买 AlphaSSL Apply Token。注册下单后，在用户中心的产品服务找到订单。点击订单，就能找到需要的 Token，这是我们后面生成证书需要的。

点有效的进入查看到申请的 Token

接下来去自己域名 DNS 解析管理后台，如果有 MX 记录就全部删除，再添加新的 MX 记录，记录值为：api.libmk.com (2024/1 更新新地址)

api.libmk.com

这里需要多等几分钟，查询 MX 记录（ 点这里查询）是否生效，不然会收不到邮件。

申请证书

接下来点这里 申请 CSR ，按照自己域名情况填写 *.yunloc.com，然后点击右边的按钮生成

上面的CSR Value和Certificate Private Key，都先用 txt 文本保存一下，以免不小心关掉网页后麻烦。后面需要用时再改成证书格式server.pem或者server.crt ，密钥格式都为server.key

生成证书

接着就是点这里生成 SSL 证书，就填写两参数，上面是刚才的 CSR Value，下面是订单里的 Token

1、对照申请证书的 -----BEGIN CERTIFICATE----- 段输入，别搞错了；

2、这里是你购买后，萌咖后台的给出的Token

3、确认无误后点击 Get AlphaSSL生成证书；

然后马上就会得到提示：

这里要求去邮箱查看，但上面已经使用萌咖的内置 API 邮箱了，所以不用管这个提醒。

稍微多等几分钟，后退返回，使用MAIL命令看邮箱：

如果一切顺利就能看到下面提醒，这就说明申请成功了

再后退返回上个页面，使用如下命令查看申请下来的证书

申请时间有点长，博主等待大概 15 分钟左右，期间点了几次总是有警告，提醒等待。

申请完成后就可将查到的证书同样保存到本地了，新建个文本把证书文件保存在 server.txt，再建个文本，把密钥文件保存在 key.txt；

然后可以用 FTP 工具改后缀名为server.pem或者server.crt，密钥文本可以改名为server.key；

这里注意下：

证书文件以 -----BEGIN CERTIFICATE----- 开头，证书文件就是你最后一步申请得到的；

密钥文件以-----BEGIN PRIVATE KEY----- 开头；密钥文件是上面申请 CSR 得到Certificate Private Key的部分；

补全证书

下面的代码保存在证书server.pem或者server.crt的后面，是可选项，也可以不加。反正加了总比不加好，博主已经加上（有效期：2027/10/12）

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

最后记得把你的 MX 记录改回来，如果没有企业邮局的话就删除 MX 记录！

Nginx 配置

一般 nginx 的证书文件都以.crt格式，下面是博主的 Nginx 配置 server 段的部分配置

server
    {       
    listen 443 ssl http2;
    server_name www.yunloc.com;
    index index.html index.htm index.php default.html default.htm default.php;
    root  /home/wwwroot/yunloc.com;

    ssl_certificate /usr/local/nginx/conf/ssl/www.yunloc.com.crt;
    ssl_certificate_key /usr/local/nginx/conf/ssl/www.yunloc.com.key;
    ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers "TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5";
    ssl_session_timeout 5m;
    ssl_session_cache builtin:1000 shared:SSL:10m;
    ssl_dhparam /usr/local/nginx/conf/ssl/dhparam.pem;
    ssl_buffer_size 4k;
    ssl_session_tickets off;
    ssl_early_data on;
    proxy_set_header Early-Data $ssl_early_data;

    add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
    add_header X-Frame-Options SAMEORIGIN;
    add_header X-Content-Type-Options nosniff;
    add_header X-XSS-Protection "1; mode=block";
    include rewrite/wordpress.conf;

ssl_dhparam /usr/local/nginx/conf/ssl/dhparam.pem;

这段是 nginx 安全套接层 Secure Sockets Layer SSL 公共密钥小于 1024 的安全隐患， 当服务器 SSL/TLS 的瞬时 Diffie-Hellman 公共密钥小于等于 1024 位时，存在可以恢复纯文本信息的风险；

如果要使用这段必须先在 SSH 里执行

openssl dhparam -out /usr/local/nginx/conf/ssl/dhparam.pem 2048

或者不使用也可以，删除ssl_dhparam /usr/local/nginx/conf/ssl/dhparam.pem;这段。

结语

换完证书感觉上是快了那么一丢丢，可能是因为花了钱的证书吧！希望百毒落掉的那点点页面赶快回来吧，该弄的我基本都弄了。