申请通配符SSL证书的流程并不复杂,但需要按照正确步骤操作才能顺利部署。本文将详细介绍从CSR生成到证书部署的完整申请流程。
一、选择证书颁发机构(CA)
首先需要选择一家受信任的CA机构。主流的通配符SSL证书品牌包括Sectigo(原Comodo)、DigiCert、Geotrust、RapidSSL等。选择时需考虑验证类型(DV/OV)、价格、浏览器兼容性、签发速度等因素。通配符网提供多品牌通配符证书,可根据需求选择。
二、生成CSR文件
CSR(Certificate Signing Request)是证书签名请求文件,包含公钥和域名信息。通配符证书的CSR生成时,Common Name(通用名称)需填写通配符格式:
Common Name: *.tongpeifu.cn
CSR可在服务器上通过OpenSSL命令生成:
openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr
按提示填写国家、省份、组织等信息,域名栏务必填写带星号的通配符域名。生成后会得到私钥文件(server.key)和CSR文件(server.csr),私钥务必妥善保管。
三、提交申请并完成域名验证
将CSR文件提交给CA机构后,需要完成域名所有权验证。通配符SSL证书仅支持DNS验证,不支持文件验证(这是通配符证书与单域名证书的重要区别)。
DNS验证流程:
1. CA机构会提供一个TXT记录值
2. 在域名的DNS管理后台添加TXT记录
3. 记录名格式:_dnsauth.tongpeifu.cn
4. 等待DNS解析生效(通常10-30分钟)
5. CA机构自动检测验证通过
DNS验证通过后,DV通配符证书通常几分钟内即可签发,OV通配符证书因需审核企业资质,需要1-3个工作日。
四、下载并部署证书
证书签发后,CA机构会提供证书文件(通常包含证书文件和中间证书链)。根据服务器类型选择对应的部署方式:
Nginx:使用 .crt 证书文件和 .key 私钥文件
Apache:使用 .crt 和 .key,需配置SSLCertificateFile和SSLCertificateKeyFile
IIS:需将证书和私钥合并为 .pfx 格式导入
部署完成后,使用在线SSL检测工具(如MySSL、SSL Labs)验证证书是否安装正确,确保浏览器显示安全锁标志且无证书链错误。
五、通配符SSL证书申请注意事项
1. 私钥文件(.key)一旦丢失需重新申请证书,请做好备份
2. DNS验证记录在证书有效期内不要删除,便于后续重签发
3. 通配符证书的星号仅匹配单层子域名,不支持多级子域名
4. 部署时务必包含完整的中间证书链,否则部分浏览器会报错
掌握通配符SSL证书的申请流程,能够帮助您高效完成多子域名HTTPS部署。如有申请部署问题,可联系通配符网客服获取专业支持。
