前言

最早常用的是 https://freessl.cn/ 但是近期发行该网站取消了LE证书(Let’s Encrypt SSL),只保留了TA证书(TrustAsia)

TA证书中文名是 亚洲诚信,是由 亚数信息科技(上海)有限公司 弄的,近期他们也弄了个网站叫做51SSL,同时Freessl.cn也明显展示了这个网站的跳转入口。

本文以实战案例展示流程和综合分析。通过TA证书的官方的51SSL.com,在浏览器进行手动申请SSL证书。

注册

注册地址是 https://www.51ssl.com/user/register

需要邮箱和大陆手机号验证码注册,同时自定义填写姓名等信息。平常登陆只需要邮箱和密码。

注册不需要身份验证

特色

首先51SSL是TA官方的,备案主体相同,那么在中国大陆使用时自然有天然的优势,因为是中国大陆的公司弄的玩意。当然,在境外使用或者跨境使用时自然是劣势更多。

TA证书的OCSP域名好像是 http://ocsp.trust-provider.cn (但是旧证书有出现是 statuse.digitalcertvalidation.com 的),经过检查,首先是有大陆CDN,境外的CDN则比较杂,但是看上去是阿里云国际CDN。同时注册商和DNS商都是阿里云。

在51SSL官网和其他平台(比如FreeSSL、腾讯云等)不同的是,在官网可以免费获取“TrustAsia 免费域名型多域名通配符SSL证书”,不过有效期都只是常规的90天。【这个平台免费证书都是锁定90天,但是在其他平台可以订购单域名(或者www和root的双域名)的一年TA证书,如果域名少,不经常换,还是建议旧一点】

看上去也没有其他平台喜欢弄的“限额”、“推广”什么的,不过TA的默认20有效证书限制应该是还在的。

由于是官方平台,所以安全性,还是比野鸡网站好点的,毕竟不需要考虑他人盗用,只需要考虑警察会不会来找你,建议别拿大陆公司的证书搞事。

支持的验证方式和域名情况

原则上是有CNAME、Email和File验证三种验证方式

一般选择CNAME(如果是通匹符/通配符的话)

支持多域名、多通匹符,看上去也支持IP证书(未实测)。

实战

如图所示,在控制台找到这款非商业产品

一般为了简单,选择浏览器生成,至于要不要云端存储,一个中国大陆的公司,你存不存我感觉没啥影响,然后有效期只能90天,这个名称也就是SSL有效的域名/IP,我试了下好像是可以填IP,如果是通匹符也就是常规的*.domain。

然后下单后,会给你发邮件通知,然后你需要设置一个特殊的CNAME, 每个主域名一个

然后建议拉低TTL更新时间,检查有没有冲突的CNAME记录,然后等15分钟,这个平台最大的问题就是不能手动提交,我测试了下差不多下单后15分钟收到成功的邮件通知。

然后你在订单页面找到查看证书,选择如图所示的格式,下载证书即可。PEM填写下载的PEM,KEY填写下载的KEY或者网页查看的私钥