自从得知可以在 assl.loovit.net 申请到免费泛域名证书之后就一直想着把博客的 WoSign 证书换掉，毕竟部分 WoSign 的证书 Chrome 已经不再信任了，自己的博客从小绿锁变成大红叉看着很难受。但是按照流程申请之后发现根本收不到它的验证邮件，给官方的客服人员发了好多邮件，最终解决，在这里总结一下这些坑，分享出来，以后遇到也可以避免踩上。

准备域名邮箱和 CSR 文件

AlphaSSL 证书的申请，需要先提交域名的 CSR（证书请求文件），然后用域名邮箱作验证，保证你是这个域名的所有者。CSR 很好生成，可以用 openssl 在本地生成，也可以去各大工具网站在线生成，不再赘述。注意如果你想申请泛域名证书，生成 CSR 时域名应该是 *.your-domain.com， 而不是 your-domain.com。

注意保存好生成 CSR 文件时同时生成的 Key 文件，部署证书时要用

域名邮箱可以选择 QQ 域名邮箱，很简单方便，也有操作指南，设置好 MX 解析后用另一个邮箱给域名邮箱发一封邮件测试无误即可。目前 QQ 邮箱并没有屏蔽 AlphaSSL 发来的邮件，因此可以放心使用。必须使用下面的 用户名@域名 邮箱之一才能接收到验证邮件：

admin@your-domain.com
administrator@your-domain.com
hostmaster@your-domain.com
postmaster@your-domain.com
webmaster@your-domain.com

域名的准备工作

这里坑很多，一个一个讲。

Email Address 的填写

申请证书的页面需要你填写一个 Email Address.

这里最好填写域名的联系人邮箱（在域名提供商那里可以查询得到的），这是接收证书的邮箱，非常关键。

关闭域名保护

最好关闭域名保护，开启域名保护可能会使 AlphaSSL 无法验证信息，导致无法签发

清除域名的 CNAME 记录

CNAME 记录开启，会导致 AlphaSSL 无法校验域名信息，根据官方人员给我的邮件，他们认为给根域名添加 CNAME 是一个错误的行为，具体原因参见

Why it's a bad idea to put a CNAME record on your root domain

保证网站可访问

这个坑官方人员一直没有说，所以我弄了很长时间死活收不到邮件，直到最后决定放弃，部署上了一张 Symantec 的单域名证书，证书生效的几乎同时我的邮箱就收到了 AlphaSSL 的验证邮件。

总结原因应该是我之前的证书失效可能导致了 AlphaSSL 的验证程序无法获取正确的域名解析信息。所以，要保证网站可以访问，即便是 http 不是 https 也可以。

收到邮件后的工作

同意申请链接只能点击一次

在域名邮箱收到验证邮件之后，点击 I Approve，AlphaSSL 便会把证书的 CRT 以邮件内容的形式发送给你，注意，I Approve 这个按钮只能点击一次，点击后不管有没有收到邮件，都会失效。因此接收证书的邮箱一定要填对，确保可以收到 CRT。

合并中级证书

由于 AlphaSSL 是中级证书商，因此需要把它的中级证书和签发给我的证书合并。

AlphaSSL 官方网站提供了他们的中级证书，注意有效期，最上面的那个是有效的，选择 【Valid until: 20 February 2024】的，内容如下：

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

新建一个文本文件，把上面的内容粘贴进去，随后找到 globalsign.com 发来的邮件，在邮件的最后是你的证书，直接粘贴在上面内容的后面。然后把文本文件另存为后缀为 .crt 的证书文件，这个 CRT 文件就可以直接部署上服务器，不会因为证书链不完整而被浏览器报错了。

部署

上面的 key 文件 和 合并好的 CRT 文件部署上服务器就可以了。

本文首发 FlowMine - Vizards的个人博客