阿里云申请免费SSL证书

为什么需要申请SSL证书 ¶

默认的网页传输协议是HTTP，完全是明文传输，毫无私密可言。 在需要以账户、密码保护的页面，如果没有配置HTTPS，则形同虚设。 在传递任何机密数据时，如密码、秘钥、证书等，如同寄出一封未封口的平信，邮差与任何中间人，都可以轻易获取内容。

对孤这样的个人来说，虽然静态网页部分，可以不需要加密。 但部分自架设的私用服务，如代码托管，开放在外网，以账户密码来保护，这就必须要加密传输了。

『购买』免费型DV SSL ¶

在【CA证书服务】页面，点击【购买证书】，可以看到五种SSL证书备选。 除了【购买数量】可以调整一下，最多购买10张，其它项都是固定的。 直接点击￥0.00下面的【立即购买】即可。 明明是￥0.00，还要叫『购买』，真是无处不在的付费意识提醒啊。

免费数字证书,最多保护一个明细子域名,不支持通配符，一个阿云帐户最多签发20张免费证书。

免费20张，意味着一个域名可以用20年。 不过，看不到剩余多少张免费，算是没考虑周全吧。 孤不禁想，如果能每年免费20张就好了。 这也不是完全没可能，因为已购买的证书，还可以『续费』，费用为￥0.00。 这也是描述不清的地方，也许续费20次后，就收费了吧。 俺们可以20年后，回头再看。

O(∩_∩)O~

后续的步骤 ¶

『购买』完成后，【CA证书服务】页面，可以继续走以下步骤。

补全信息 -> 提交审核 -> 查看进度 -> 颁发证书 -> 下载证书

依次输入域名、姓名、手机号、地理位置、Email后，还需要在【域名验证类型】里选择DNS还是文件。 这一步主要是检查域名的所属，是否为申请人。

如果选择文件，会比较麻烦。需要在对应域名下，新增一个文件。 内容为JSON，文件名为fileauth.txt，URL路径为/.well-know/pki-validation。 外网访问路径，类似：https://example.com/.well-know/pki-validation/fileauth.txt。

除非该域名下是静态网站，不然总是很麻烦。 DNS验证，则是需要添加一个诡异的域名解析，子域名与申请域名同名，类型为TXT，记录值为给定的超长字符串。 孤的域名正好是托管在阿里云的万网（其实，这也是某种必然），所以勾选了自动添加记录。

由于DV SSL不需要什么企业信息，所以【上传相关信息】就跳过了。

等待几分钟后，证书就审核完毕，直接发放了。 这个速度，这个过程，真是舒心啊。

部署证书 ¶

如果还购买了以下产品，可以直接通过【推送】的方式部署证书。

• 高防IP
• Web应用防火墙
• CDN
• 负载均衡

这些服务，都相当于在域名与服务器之间，又包装了一层。 而SSL，本质上就是在应用层与传输层之间，额外添加一层。 所以，添加SSL证书，它们可以代劳。

不过，对于孤这样的个人开发者来说，这些可有可无的东西大概是没有的，只能自己配置。 在证书对应的【下载】页面，可以得到证书文件，以及Nginx、Apache等软件的配置方法。

感言 ¶

孤这种对网络、安全、证书、服务器都一知半解的人，竟然花几个小时就成功地给自己的某个子域名配置了https。 看着变绿的地址栏，不得不感叹技术的进步！

参考 ¶

• 如何选择域名授权验证
• 各种类型SSL数字证书的区别，如何选择