申请免费SSL证书

• 1. 前言
• 2. 免费的SSL证书和付费的有什么区别？
• 3. 颁发免费的SSL证书的机构
• 4. 如何获取阿里云免费SSL证书
  • 4.1. 选择免费SSL证书
  • 4.2. 申请证书
  • 4.3. DNS验证
  • 4.4. SSL证书安装
• 5. 参考文章

1. 前言

SSL证书（SSL Certificates）可以说是现在一个网站的标配，如果没有用SSL证书，浏览器上会显示不安全，导致一部分用户以为网站有问题。另外在微信小程序和iOS APP上，提供的API必须要用HTTS协议，否则不允许上架，所以掌握好SSL证书的配置是一个后端开发必备的技能。

在阿里云上，提供了每年可以申请一次的免费SSL证书，对于一些个人站点或者小公司的网站来说，确实是一个不错的选择。

2. 免费的SSL证书和付费的有什么区别？

收费版的SSL证书和免费版的证书有什么区别？首先说下他们的相同点。

1. 都是由信任的CA机构签发的。
2. 都是有一定的加密算法，能保证数据安全传输的。

首先我们要知道，任何一个人，都可以给自己甚至别人签发SSL证书。但是这个世界上只有那么几家公司（比如Digicert（原Symantec，已更名）、Rapid、GlobalSign、Wosign、GeoTrust以及TrustAsia，甚至还有一些国产公司例如vTrus）被权威机构所认可，他们的CA根证书被集成到操作系统中了，只有CA根证书被集成到操作系统中，这个CA根证书下的子证书才能被浏览器认为是安全的。

收费版的SSL证书和免费版的证书有什么区别，主要体现在以下几点。

1. 品牌不一样： 像DigiCert这样的公司，是全世界最被认可的公司，他们签发的证书，可激活互联网最受信任的诺顿安全签章，价格肯定会有所差别了。
2. 身份审核不一样： 免费的CA证书只会验证域名信息，由系统自动签发完成，签发速度几乎是立即完成。付费的CA证书会对验证网站的真实性做严格的验证，可以这样说，有付费SSL证书签发的网站，几乎是不可能有问题的，因此可信度比较高，但是签发周期也比较长，一般要3-15个工作日。
3. 安全保险不一样： 付费的CA证书大多都有保险，最高可享受175万美元的保额，也就是说你的网站在使用SSL证书通信期间，被黑客攻击了，那么是可以享受保险的。但是免费的CA证书是没有的。
4. 签发的域名不一样： 付费的CA证书一般都可以签发好几个域名，但是免费的CA证书只能签发一个域名。

当然还有更多其他方面的不同，比如付费的CA证书加密算法方面会做得更加优秀等。但是如果只是一个个人站点，或者是小公司的网站，我们可以先用免费的CA证书来过渡。毕竟买一个付费的CA证书，最贵的一年也要1W多，少的也要1000多。

3. 颁发免费的SSL证书的机构

提供免费SSL证书的机构有如下一些, 比如Let's Encrypt, Cloudflare, Bluehost, SiteGround这些机构都提供免费的SSL证书, 国内的有阿里云, sslforfree.cn等机构.

值得注意的是这些机构提供的免费SSL证书都有一些限制, 有的在适用时间上, 有的在适用的domain的数量, 每一家申请需要的资料, 批准时间上都有所不同, 还有就是被认可的范围不同, 有些证书能被90%的浏览器或操作系统认可, 有些认可度较低, 需要详细了解后再从最适合自己的机构中申请.

以下以阿里云为例, 讲解如何获取免费的SSL证书.

4. 如何获取阿里云免费SSL证书

4.1. 选择免费SSL证书

进入到阿里云官网后，点击数字证书管理服务=>SSL证书,点击左侧菜单栏SSL证书 => 免费证书 => 立即购买来到购买证书页面。

产品栏: 选择免费证书
购买数量: 选择20, 这个20代表可以给20个不同的域名签发证书
其它服务: 选择不需要
阅读并勾选协议
然后右下角会显示价格为0元，点击立即购买即可。

购买完成后创建证书案例上会显示"创建证书20/20"表示可以创建20个单域名证书.

4.2. 申请证书

购买完证书后，还需要在控制台=>证书管理服务->SSL证书, 点击创建证书，系统会自动创建一条DigiCert 免费版 SSL, 初始处于待申请状态.

点击证书申请案例进入证书申请页面.

证书绑定域名: 输入你的完整域名 (请输入完整的单个域名，域名格式例如： 'www.xxx.com'，IP证书仅Globalsign的OV单域名证书支持)
域名验证方式: 选择自动DNS方式
联系人: 创建并选择联系人
所在地: 输入所在地
密钥算法: RSA
CSR生成方式: 选择合适的CSR生成方式

信息填写无误后点击申请. 申请成功后联系人会通过电话或邮箱收到通知.

4.3. DNS验证

• 登录域名管理控制台

如果域名在阿里云，请登录阿里云DNS控制台操作。如果您使用其他厂商的域名，请登录对应的域名管理控制台

• 在域名控制台添加DNS解析记录

请按以下提示，在您的域名控制台添加DNS解析配置

添加 记录类型为txt, 主机记录为_dnsauth的域名解析记录, 如果域名是在阿里云购买的域名, 管理用户一致, 系统会自动帮助添加解析记录. 如果是其它情形, 请按提示指引添加域名解析配置.

接着点击下一步，再点击一个DNS验证，然后就进入审核阶段。因为是免费证书，整个签发过程都是由系统自动完成，因此在证书列表页面重新刷新一下页面，估计就能看到已签发的提示了。签发后即可下载证书使用了. 针对不同类型的服务器可以产品SSL证书安装章节进行配置.

4.4. SSL证书安装

SSL证书申请下来后，还要配置到服务器上才能使用。不同的web服务器使用方法都有不同，详细的文档可以查看这个链接https://link.zhihu.com/?target=https%3A//help.aliyun.com/document_detail/109827.html%23section-ri1-ayr-evy里面总结了现在市面上几乎所有web服务器安装SSL证书的教程。

5. 参考文章

阿里云免费SSL证书白嫖指南