关注VPS服务器
相关知识分享

从 Let’s Encrypt 证书换成TrustAsia 证书的操作过程及注意事项

Let’s Encrypt 证书是当下流行的免费证书之一,申请容易,下证书快。TrustAsia 证书是亚洲诚信出的免费证书,有效期一年,到期可以免费续签,十几分钟就可以下证书。本文是老魏分享从 Let’s Encrypt 换成TrustAsia 证书的过程。

为什么要更换证书

Let’s Encrypt 证书有两点不方便的地方:

有效期只有三个月,到期要续签;

不被 360浏览器所信任。

如果你做外贸网站倒也不用在乎 360浏览器,因为老外普遍用火狐、谷歌、IE浏览器较多。做国内站的话就不能忽视了,毕竟在国内用户中,使用360浏览器的占相当大一部分。

1、续签周期

三个月续签是面板自动申请的,不过每隔一段时间也得操心看一眼,总是有份心思吊着,这种感觉不太好。TrustAsia 证书就好多了,一年才看一眼,省心了。

2、360浏览器如何看待Let’s Encrypt证书?

网站部署 Let’s Encrypt证书后,用 360浏览器打开在地址栏的小绿锁会有黄色感叹号,点开后提示:该证书不在 360根证书计划内,未来可能不被360浏览器所信任。

大部分用户是不懂这块知识的,看到提示会觉得你网站不安全,立即退出甚至造成不好的口碑传播影响也未可知。

360浏览器在国内做到了相当大的使用群体规模,并且建立了 360信任的根证书库,这里面就不包含 Let’s Encrypt证书。但凡什么产品做到一定大的规模了,都会有自己的标准,并且在一定程度上影响着业界标准。

另外 360自家搜索引擎在 SEO排名方面对这种情况会不会有所考虑呢?老魏猜测是会有的,毕竟都不被 360根证书计划信任了。未经过官方证实,也不可能被证实,个人猜测而已。

3、为啥 360浏览器不信任 Let’s Encrypt证书?

360浏览器官方解释:

每天各个CA机构新增和吊销的证书已呈现一定的数量级,证书滥发、错发、无意信任等情况时有发生,证书可信性,真实性无法及时有效的校验。为了解决这些问题,CA机构已经实现了一些更好的管理方法,但有时候很难依赖它们,这意味着证书管理方面还存在一些未解决的安全问题。为了增强我们对那些证书问题的应对能力,可以通过提高问题处理的效率、缩短风险周期,有效识别出网站证书是由具体CA机构签发的真实性,进一步帮助用户识别可信安全证书,360决定创建自己的根证书计划。

360浏览器通常信任底层操作系统信任的根证书,但现在也会配置自己的根信任库。

老魏的理解:Let’s Encrypt的易用性让每个人都可以随时随地申请到 SSL证书,并且免费部署在网站上。这个特点让 Let’s Encrypt证书迅速火爆了整个互联网,国内也有超多站长在用。正所谓成也萧何败萧何,太过于随便申请到,让很多恶意网站也可以顶着安全网站的名义干坏事,就好像披着羊皮的狼一样,不咬你一口都不知道它究竟是好是坏。老魏猜想 360浏览器也是从这个角度出发才从自己的根证书库中排除了 Let’s Encrypt证书。

并不是说 Let’s Encrypt证书不好,但是基于 360浏览器在国内的装机量,我们做国内网站的也得做出相应改变。

下面是魏艾斯笔记部署了 TrustAsia证书后,使用 360浏览器访问就提示在根证书计划内,是可信安全的了,也没有黄色感叹号了。

腾讯云申请 TrustAsia 免费证书

有两个渠道,从 DNSPod 或者腾讯云申请都是可以的。

申请过程并不复杂,点我直达腾讯云官网,领代金券可以抵用上云费用。然后找到 SSL证书那一栏开始申请。具体的申请过程在下面两篇文章中,无论你从哪个网站开始申请,最后都会跳转到腾讯云官网。

相关文章:DNSPod申请免费SSL证书的过程
如何申请腾讯云免费ssl证书并部署到宝塔面板

部署TrustAsia 免费证书

申请到的证书下载到本地解压缩到文件夹,以 nginx 和宝塔面板为例,用记事本打开 www.domain.com_bundle.crt//证书文件和www.domain.com.key //私钥文件,分别粘贴到宝塔面板的【其他证书】中,点击保存。

这时候因为 Let’s Encrypt证书仍然还是生效的,所以要进入下图中的【证书夹】中删除掉,正是旧的不去新的不来。

最后一定、一定、一定记得选择【强制HTTPS】。

宝塔面板部署TrustAsia 免费证书

宝塔面板部署TrustAsia 免费证书

二级域名部署 TrustAsia 免费证书及腾讯云 cdn设置

以下几点是补充解释:

1、以 vpsss.net 为例,把主域名 301跳转到 www二级域名,同时使用对象存储给图片做了动静态分离,给图片分配了 img.vpsss.net 二级域名,所以也要给 img 申请免费 SSL证书。

2、在腾讯云控制台 > 内容分发网络 > 证书管理中,腾讯云COS 支持 http和 https访问,为了配合整站 https,回源协议选择协议跟随或HTTPS都可以。

系统提示:您的源站需要部署有效证书,否则会导致回源失败。如果二级域名比如 img.vpsss.net 指向腾讯云COS可以忽略这个提示。如果是指向服务器的比如 www.vpsss.net就要遵照指示在服务器端也部署 SSL证书了。

3、img.vpsss.net 因为直接指向腾讯云 COS,所以不必在面板中添加相应的二级域名解析和SSL证书。

赞(0) 打赏
允许转载,保留出处:魏艾斯笔记 » 从 Let’s Encrypt 证书换成TrustAsia 证书的操作过程及注意事项
分享到: 更多 (0)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏