申请域名SSL证书
不知不觉一年又过去了,一直以为申请SSL证书
是极为容易的事情,没想到这次却遇见了一点小麻烦。用的是腾讯云申请免费的亚洲诚信DV SSL证书(Domain ValidationSSL)
,不料,24小时快过去了,还是处于待验证状态。之前也用腾讯云申请过,虽然比阿里云稍微慢点,但也不至于都快1天时间了,手动点击验证,结果是验证失败
。
查看原因也告知是DNS解析
全球生效需要24小时,同时上面也写有1个工作日内审核。但问题是距离24小时都不到1小时了,我就不信过了1小时候它会成功,因此我不打算继续等候这几十分钟,准备放弃换阿里云申请。
用阿里云申请,显示为1-15分钟内审核完毕,结果15分钟过去了依旧不见动静,还是处于正在审核中
的状态,我预感不妙,阿里云估计也不会成功的。不服的我又撤销申请,重来了2次结果依旧。
后面我也不知道搜索的是什么关键词,找到了MySSL.com这个网站,输入申请的域名
和TXT验证值
检测发现,竟然显示不匹配,其结果如下:
地区 | 是否匹配 |
---|---|
中国 | 不匹配 (验证失败,您的CAA配置不允许当前CA为您签发证书,请修改为:symantec.com或digicert.com) |
香港 | 不匹配 (验证失败,您的CAA配置不允许当前CA为您签发证书,请修改为:symantec.com或digicert.com) |
美国 | 不匹配 (验证失败,您的CAA配置不允许当前CA为您签发证书,请修改为:symantec.com或digicert.com) |
好家伙,于是我以为是CAA在腾讯云或阿里云自动配置不当的结果(尽管心里面不认为是阿里腾讯的问题,但是没办法),自己手动申请后继续在阿里云上面申请,结果还是不行。
于是我开始回顾,莫不成申请个SSL证书
还要把域名解析到相应的服务商吗?但经验告诉我,这是没必要的,有了TXT验证
,是不需要去处理域名A记录
或CNAME记录
的。
于是我又寻思,莫不成最近的免费版可能有点状况?莫不成最近的申请策略改变了?莫不成我的域名变为敏感了?最后我把这些猜想都排除了,直接从域名解析上着手。
域名主机记录为@的,CNAME解析到vercel上,记录为www的默认CNAME解析到了cloudflare(还有其他线路解析),我直接把这两个记录给暂停解析,没过多久,一刷新腾讯SSL证书的申请页面,竟然已经成功了。看来问题应该是出现在主机记录为@的解析到vercel上的缘故,才导致上面检测显示不匹配的问题。
虽然问题得以顺利解决,但害怕明年申请的时候又给遗忘了,故此赶紧写一篇文章来记录一下。为什么去年和之前都没遇见这样的问题呢?自己回顾了一下有一下几个可能性:
- 之前申请的有些都是二级域名,而这是是申请www的,但域名主机记录为@的,和域名主机记录为www的,一般会被视为同一个,或者两者共用一张SSL证书;
- 可能是vercel特有的问题,如果把域名解析到其他云服务商,可能就不存在这样的状况,比如解析到某个服务商的CDN上;
RSA 与 ECC 加密算法的区别
前面说道还怀疑是申请策略变更了,其原因就是腾讯云支持ECC加密算法的申请了,之前腾讯云都是默认RSA的,又拍云支持的比腾讯云早,阿里云到目前为止(2021年7月22日),好像不支持选择ECC申请。(没去细究到底支持不)
至于这两者有啥区别,看下面表格对比,我肯定优选ECC,管他浏览器的兼容性好与不好。
对比项目 | ECC 加密算法 | RSA 加密算法 |
---|---|---|
密钥长度 | 256位 | 2048位 |
CPU 占用 | 较少 | 较高 |
内存占用 | 较少 | 较高 |
网络消耗 | 较少 | 较高 |
加密效率 | 较高 | 一般 |
抗攻击性 | 较强 | 一般 |
兼容范围 | 新版浏览器和操作系统均支持,但存在少数不支持的平台。例如 cPanel | 均支持 |
2022年再遇到申请证书问题
时隔一年,又再次碰见申请证书不通过问题,在腾讯云SSL证书中提示,CAA记录被Vercel给记录到 0 issue "letsencrypt.org"
,因配置了不同路线解析,又因letsencrypt
是三个月的有效期,故此在Vercel中添加了一条CAA记录,于是我就暂停了所有的解析,特在腾讯云的DNDPod
中添加了CAA记录为0 issue "dnspod.cn"
等着审核通过。
万没想到都快24小时了,还是没有任何动静。又想,这一年年的时间过得也挺快,一年没有理会这些东西,自己都有些忘记站点的解析路线了,要不然就全部统一到一个路线好了?于是修改解析,想着要不再重新申请一次?昨天一天都在审核中,自己还换到阿里云去申请,结果也一样,这修改了解析后阿里云的就通过审核了,重新申请的腾讯云这边也通过了审核。难不成是自己昨天暂停了www
和@
的记录导致?如果是仅仅暂停CNAME
的Vercal是不是就可以了?
也无心精力也追究那么多了,如今越来越深感精力有限,故此仅做记录以便来年参考为用。