90天的SSL证书用着太麻烦？还可以免费申请1年期证书使用更方便

本周提到ZeroSSL提供的纯IP证书，有用户咨询像这类证书有效期都是90天因此续期的时候比较麻烦。

Let’s Encrypt提供的证书也是90天的，使用 90 天证书的前提是你可以配置自动续期不然到期就要重新更换。

比如像使用国内和境外CDN进行加速，使用1年期的证书就就不用担心过期问题，当然这也是免费的。

如果你使用国外CDN提供商例如CloudFlare或者 AWS CloudFront 那可以自动续期证书，就是解析得改改。

0元购20个域名1年期证书配额：

目前国内公有云服务商基本都基于合作伙伴推出免费证书，在这里我们以阿里云为例介绍如何申请免费证书。

这些证书签发方都是 DigiCert 没有任何兼容性问题 ,  中级CA可能有亚洲诚信或天威诚信这个基本无关紧要。

点击这里转到阿里云安全证书页面，如无阿里云账号在页面上注册并完成认证即可 ：https://ourl.co/alicas

点击选购证书然后点击单域名证书免费试用，购买这个套餐可以为20个域名(含子域名)申请1年期的SSL证书。

确认都是零元购后开通并按提示转到控制台，点击控制台左侧的SSL 证书进入证书管理然后再点击免费证书。

申请免费证书的操作流程：

在免费证书里点击创建证书然后点击后面的证书申请，按系统提示依次输入域名、联系人、邮箱、CSR信息。

其中域名若填写landian.news则同时签发www.landian.news和landian.news证书，其他子域名为单个证书。

联系人可以随意填写、邮箱是否留真实邮箱自选，如果留假邮箱可能无法收到到期提醒或者其他安全提示等。

联系人手机号码也可随意填写不建议留真实号码、地区也是随便选默认的中国北京即可也没必要单独去修改。

验证方面强烈推荐DNS 解析验证，1年到期后可以直接续期不需要改记录，文件验证要创建隐藏文件夹操作。

另外如果域名已经做重定向也无法使用文件验证，所以解析验证操作略微麻烦些但成功率高后期步骤会更少。

配置DNS解析记录：

前步骤完成操作后接下来就会生成解析验证记录，我们需要转到域名解析里添加记录，具体请看下面的图片。

配置完成后我们先本地验证下是否生效，在CMD里使用nslookup -qt=解析类型 完整域名 即可看到记录值。

比如 nslookup -qt=TXT _dnsauth.c.landian.vip 可以返回我们刚刚添加的记录值说明已经生效可以点验证。

上面这个步骤也可以忽略因为诸如DNSPOD等DNS解析提供商基本都是1分钟就生效的 , 直接去点验证即可。

提交审核后正常会立即签发证书，然后我们点击下载证书，选择 NGINX 版到本地将证书和私钥都解压出来。

使用记事本或代码编辑器打开pem证书和key私钥按需使用 ，例如在宝塔面板里我们到SSL里粘贴证书内容。

将pem文件里的内容粘贴到证书里，将key里面的内容粘贴到私钥里，点击保存立即生效此时可HTTPS访问。

如果你使用国内的CDN可以到CDN控制台里上传证书，然后部署即可，1年期的证书好处就是不需要频繁换。

国外CDN就不用这么麻烦：

如果你的网站国内直接源站解析境外使用国外CDN那就没必要这么麻烦，因为使用 Let’s Encrypt 证书就行。

例如CloudFlare和AWS CloudFront都提供90天免费证书并自动续期，保证源站SSL证书可以自动需求即可。

这样CDN侧通过HTTPS回源，CDN侧给用户访问使用CDN提供的证书，两份证书都能自动需求所以更方便。

不知道国内的CDN什么时候才会直接提供免费证书自动续期，如果也提供了那Let’s Encrypt 90天完全够了。

想要白嫖国外CDN但不想使用CloudFlare？后面会介绍 AWS CloudFront 的免费白嫖教程敬请期待。