手把手教你申请AlphaSSL泛域名通配符证书

前言

最近站点证书到期好几个，挨个在腾讯云去申请，申请了几个觉得很麻烦，于是就想申请一个通配符证书，查询了很多，都是很贵的，简直无法接受，在一番寻找下了解到了AlphaSSL的通配符，再查找了一下申请方法，网上介绍的都很复杂，直到点进了购买AlphaSSL Apply Token的界面才发现原来如此简单（仅需29.99CNY）。

使用后发现还是360信任的根证书，简直太香了！

AlpahSSL 证书申请流程概要

          确认拥有该域名的解析权或者 "admin@域名" 能够接收邮件
                           |
                           V
                 生成该域名的 CSR, 并保存好私钥
                           |
                           V
          检查域名的 MX 解析, 并确认使用 8.8.8.8 能过获得正确解析记录
          检查域名的 CAA 解析, 添加 0 issuewild "globalsign.com" 记录或暂停所有CAA解析
          检查域名的 CNAME 解析, 如果有则暂停解析
                     /               
    内置API模式      /                 
 (无需邮箱,强烈推荐) /                      自己使用 "admin@域名" 邮箱接收确认邮件
                 /                      
                /                        
   1. 将域名的 MX 记录解析到内置API           
      "api.moeclub.org" 权重 10          1. 提交 CSR 并等待邮件到达
      等待解析生效并且稳定                  2. 按邮件提示确认申请
   2. 提交 CSR 并等待2分钟                 3. 等待证书内容邮件到达
   3. 【可选】使用 "MAIL" 控制命令             或者使用 "VIEW" 获取已补全证书链的证书内容
      确认邮件并返回成功提示
   4. 【可选】操作成功完成后即可改回解析
   5. 使用 "VIEW" 获取已补全证书链的证书内容

申请前须知

• 将会使用 admin@domain.tld 接收确认邮件及证书.
• 如遇到域名记录解析相关问题, 请检查域名注册商的DNSSEC配置和域名解析提供商的DNSSEC配置是否同时开启或者同时关闭.
• 删除所有 CAA 解析记录或添加值为 0 issuewild "globalsign.com"的 CAA 解析记录
  否则可能会无法成功签发证书. (必须)
• 暂停解析 CNAME 记录, 否则可能会无法收到证书确认邮件. (必须)
  (如果为主域申请证书,只需要暂停主域的 CNAME 解析. 不需要暂停子域名的 CNAME 解析.)
• 如果没有域名邮箱, 可用内置API邮箱完成.
  使用的是腾讯云(DNSPOD),阿里云等服务商提供的解析服务,请暂停该级域名一切解析并使用内置API邮箱完成签发.
• AlphaSSL 支持 RSA 和 ECC (prime256v1, secp384r1)

申请方法

使用内置api模式申请最为简单直接，小白也可以轻松上手。

1.点击[icon-url href="https://shop.moeclub.org/aff.php?aff=481" target="_blank"]AlphaSSL Apply Token[/icon-url]购买用于申请AlphaSSL的Apply Token 需要29.99CNY，仅支持ZFB支付。

2.点击[icon-url href="https://alphassl.moeclub.org/" target="_blank"]AlphaSSL 泛域名证书申请[/icon-url]进入申请网站

3.点开在线生成CSR，输入你的域名，例如我的站点就是*.90svip.cn，选择RSA模式，点击生成CSR。

4.完成这一步时步骤前的点会变成绿色，说明完成，会自动进入下一步选择接收确认邮件的方式，推荐使用内置系统邮箱，如果你不想用也可以自己用自己的邮箱（这里不做介绍，大佬自己搞哦）。

如遇到域名记录解析相关问题, 请检查域名注册商的DNSSEC配置和域名解析提供商的DNSSEC配置是否同时开启或者同时关闭.

如果域名解析服务提供商是Cloudflare, 请确保禁用 Universal SSL 服务. 如果 DNSSEC 问题请禁用 HSTS 服务.

删除所有 CAA 解析记录或添加值为 0 issuewild "globalsign.com"的 CAA 解析记录, 否则可能会无法成功签发证书. (必须)

暂停解析 CNAME 记录, 否则可能会无法收到证书确认邮件. (必须)

如果为主域申请证书,只需要暂停主域的 CNAME 解析. 不需要暂停子域名的 CNAME 解析.

修改待申请证书的域名的 MX 记录 (主域名一般为@)

将 MX 记录解析至 api.moeclub.org 权重 10

如果有其他 MX 记录将其暂停, 只保留这一条 MX 记录

等待 MX 记录生效 (使用 8.8.8.8 查询, 更改之前 TTL 设置的多少就等多少秒)

设置解析示例: MX(解析类型) 10(权重) @(主机名) api.moeclub.org(目标值)

*.abc.com --> MX 10 @ api.moeclub.org

*.sub.abc.com --> MX 10 sub api.moeclub.org

完成这一系列操作之后点击检查域名的MX解析记录是否生效，生效/不生效都有弹窗提示，生效后自动跳转到下一步。

5.填入你刚刚购买的Apply Token点击提交证书申请，然后稍等大概5分钟点击获取签发证书内容，如果没有获取到签发状态就再稍等一下即可。

6.至此就申请完成了，只需要点击批量下载组装证书就可以下载到pem格式的证书以及秘钥了。

[start-plane type="3"]购买的Apply Token只能使用一次，无论是否成功都只能使用一次！[/start-plane]

[start-plane type="2"]如果你还是不会申请或者担心失败可以联系我申请哦！只需要66大洋！不需要你自己购买Apply Token哦！[/start-plane]