2019/03/30更新:AlwaysOnSSL已不再提供服務了,此篇文章只能成追憶了!!(難得有一次就給一年free的憑證)
近期SSL憑證的議題一直受到關注,尤其是最大宗的「Let’s Encrypt」提供的三個月免費憑證服務,最近得知除了Let’s Encrypt外,還有一個網站也提供免費的SSL憑證:AlwaysOnSSL,一次提供了一年的免費憑證。
【AlwaysOnSSL網址】https://alwaysonssl.com/
Step 1. 申請帳號
- 進入網站後,建議先申請一組帳號,點選右上角的「Create an Account」。
- 輸入基本資料及設定密碼後,點選Submit。註:密碼強度需達到網站要求,才會出現Submit按鈕。
- 到Mailbox裡面會收到由Alwaysonssl寄來的認證信,點選信中的連結進行確認。
- 出現以下訊息代表驗證成功
STEP 2. 產生憑證CSR/KEY檔
- 透過AlwaysOnSSL網站產生憑證,建議需擁有網站的CSR檔,可以透過 https://csrgenerator.com 網站產生憑證或是使用openssl的指令產生憑證,以下介紹透過 https://csrgenerator.com 網站產生憑證及私鑰。
連到該網站後,依序輸入相關資料之後點選最下方的「Generate CSR」。
- 此時出現一個文字框,其中包含了「CERTIFICATE REQUEST」及「PRIVATE KEY」區塊,這個就是網站的CSR及私鑰檔案內容。
- 把CSR還有PRIVATE KEY的內容複製到文字檔中備用。
STEP 3. 透過AlwaysOnSSL網站產製憑證。
- 回到 AlwaysOnSSL 網站,輸入欲產製憑證的網址(①),再點選 I do have a Certificate Signing Request(②),再勾選 Yes, I have access to the domains DNS zone and/or is webspace(③),最後再點選 Next Step(④)。
- 在 Certificate Signing Request (⑤)的文字框中,貼上Step2 裡面的 CSR 區塊內容。
輸入完畢後,點選 DNS based validation(⑥),再點選 Next Step(⑦)。
註:CSR的部份只要貼上 — BEGIN CERTIFICATE REQUEST — 到 — END CERTIFICATE REQUEST — 的區塊,不需要貼上 PRIVATE KEY 的部份。
- 把網站中的文字加到你的DNS區域設定中(⑧),確認設定完成後再點選 Verify & issue(⑨)。
以pchome代管的DNS的設定為例,如下圖:
- 若設定成功,即會出現如下圖產製成功的畫面,此時請點選 My Certificates(⑩)按鈕準備下載憑證。
STEP 4. 下載憑證
- 在My Certificates 作業中,可以看到已申請成功的憑證。點選右邊的 Download後,分別下載 Server Certificate(Ⓐ)及Intermediate(Ⓑ)的憑證。
- 下載後的憑證為.pem格式,其實只要直接修正為.crt的副檔即可上傳到主機中,以Joomla@GCP為例,連同private key及憑證檔一併上傳。
- 上傳及設定之後,即可確認該憑證是否正確。
比起 Let’s Encrypt,AlwaysOnSSL提供的效期更長(一年),可以減少換發憑證的次數,只要每年記得進行renew即可,後續還要再找看看能否支援自動renew的方式才會更為便利。