「SSL for Free」使用DNS(CNAME)驗證的方法

有個網友寫信跟我說,他照著「免費的SSL憑證SSL For Free申請教學」這篇文章裡的步驟去做,但在確認驗證連結那邊失敗了,連結顯示找不到網頁。

這位網友在信中強調,驗證檔確定有放進「根資料夾/.well-known/pki-validation/」資料夾裡,但不曉得為什麼驗證頁面開出來是404,所以想問我是什麼原因。

我也不知道是啥原因。因為主機種類、作業系統、web server等可能會影響的條件太多了,根本不可能逐一測試找問題,所以我反而覺得換個驗證方法還比較快。

SSL For Free有三種驗證方法,我比較推薦的是「HTTP File Upload」與「DNS(CNAME)」這兩種。HTTP File Upload之前教過了,但既然這位網友失敗,那這次換成DNS(CNAME)試試。

DNS(CNAME)驗證必須在域名註冊商的網站那邊操作,這篇教學大叔我會用全球最大註冊商「GoDaddy」來做示範。其他域名商的操作方法應該差不多,依樣畫葫蘆就行了。

1. 打開瀏覽器連到「https://www.sslforfree.com/」,按一下右上方的「Register」註冊一個帳號。

2. 登入後會自動跳到這個頁面,按一下「Create SSL Certificate」後面的「New Certificate」。

3. 在「Enter Domains」下方的文字框裡填入網址,然後按「Next Step」。

4. 點選「90-Day Certificate」,然後按「Next Step」。

5. 直接按「Next Step」。

6. 這邊會列出「Free」方案和其他付費方案的差別,比較需要注意的是「Free」方案在改版後,驗證域名的數量被限制在3個。看完之後按「Next Step」。

7. 點選「DNS(CNAME)」驗證法,你就會看到「Name」、「Point To」、「TTL」三個要新增到DNS的CNAME紀錄。這個頁面先別關閉。

8. 在瀏覽器開啟新的分頁,連到域名註冊公司官網(這邊用GoDaddy示範),進入你想要驗證的域名的「DNS」,按一下「加入」準備新增CNAME紀錄。

9. 類型選擇「CNAME」,「主機」就貼上「Name」的數值(★註一),「指向」則是貼上「Point To」的數值,而TTL建議選「自訂」為「600」秒,否則要等很久才會生效。最後按「儲存」。

10. 確認一下這組CNAME紀錄有新增到域名的DNS頁面。

11. 幾分鐘後CNAME紀錄應該已經生效,回到第7步驟的那個瀏覽器頁面,按一下「Next Step」。

12. 按「Verify Domain」進行驗證,驗證成功就會產生SSL憑證檔。

13. 按一下「Download Certificate(.zip)」將憑證的壓縮檔下載回來,解壓縮之後就能看見三個SSL憑證檔案。至於SSL憑證的安裝方法可以參考這篇文章:「安裝SSL憑證到Vesta控制面板管理的網站上」。

★註一:這邊有個陷阱要小心,就是SSL for Free給你的「Name」這行數值會在最後加上你的網址,但貼到CNAME裡的時候一定要把後面的網址去掉,否則會認證錯誤。舉個例,示範中的「Name」數值是「_271CF01747EF5DE95A9C890B1C1291B6.xxxx.co」,但只能貼上「_271CF01747EF5DE95A9C890B1C1291B6」,不能加上後面接的網址。

Comments 13

  • 我剛剛也是卡在驗證不過這關,一直很苦惱。
    後來看文章發現 CNAME 名稱的主機部份,不要把Name中的網址(.xxx.co部份)也打進去(純copy-paste的話容易弄錯這點),就可以過了。
    感謝文章讓我解決。

  • Our system is currently issuing your certificate. This page will refresh automatically every few seconds.
    一直卡在這邊等四五個小時也一樣…

    • 這是SSL for Free的問題,因為網路上不少人也遇到。
      SSL for Free被ZeroSSL併入之後就開始變鳥了,
      我找找有無其他免費的SSL憑證服務,若有簡單易懂的再寫成教學。

  • 你好,我也是使用SSL for Free,要驗證網域的地方出了問題。我先使用了HTTP File Upload的方法去驗證,該上傳的.txt授權檔案也放在/.well-known/pki-validation/的資料來當中了,直接點擊授權檔案的連結也沒問題,但就是在最後一步Verify Domain時無法成功,系統一直回覆我【We were unable to verify your uploaded file. Please check for errors on your side and try again after 5-10 minutes.】

    我想使用大叔你建議的第二種方式,「DNS(CNAME)」驗證法,但我遇到困難了,我的網址是向PCHOME買的網址,它後台的DNS設定CNAME當中,並沒有能輸入「Name」、「Point To」以及「TTL」的欄位。

    PCHOME的設定欄位有「主機 / 次網域」和「地址」這二個欄位能填入而已。實在是不知道為什麼跟GoDaddy的欄位差這麼多,還請版大指點一下,謝謝。

  • 照著步驟做之後也是不行…和上一篇的HTTP File Upload一樣,都是卡在最後要Verify Domaink的時候,會跑出”We were unable to verify your CNAME entry. Please check for errors on your side and try again after 5-10 minutes.”的訊息….orz

  • 謝謝★註一的提醒,幫大忙了 ^_^

  • 您好!想請問這個免費憑證是不是只能申請三次?因為現在被禁止選擇免費版了好苦惱

    • 改版之後被限制的應該是域名數量(最多3個),而驗證次數應該沒限制。
      你可以用另一個信箱再開一個新帳號試試。

  • 太感謝,您的註一,真是太好了.ssl 弄了好久都不行,終於今天得救了
    太感謝了.太感謝了.太感謝了.太感謝了.

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。