十年的免费二级域名ccwu.cc申请证书下不来？小白给你们找到办法了！-平芜编程栈

最近有很多小伙伴迫不及待申请了免费的二级域名，毕竟是10年啊！这省下了不少大洋。

但是申请完，部署成功DDNS动态解析之后，却发现：这玩意儿申请SSL证书实在是太难了。

小白之前写过一篇申请SSL证书的教程，也是适用于ccwu.cc域名的：

飞牛绑定免费二级域名ccwu.cc后部署SSL证书教程

但是有些小伙伴反馈还是申请不了，因为申请的人实在是太多了。（这很正常，因为大家都在用ccwu.cc这个后缀的二级域名，申请SSL证书的时候超过了一定数量就会限制这个域名的签发）

所以小白这几天也在找适合的方式，终于！功夫不负有心人！

正文开始

故事的主角是使用Lucky自带的SSL/TLS证书申请功能，如果还没有安装Lucky的小伙伴，可以自行安装一下哦！

飞牛应用中心或者是按照下面这篇文章安装Lucky都是可以用的：

玩客云OneCloud部署Lucky教程｜实现DDNS必备（点击蓝字跳转）

安装完Lucky之后就可以开始咱们今天的教程：

免费二级域名SSL证书申请教程

这里的DDNS动态解析无论做在哪儿都没关系，不影响后续的教程。

打开Lucky之后，点击【SSL/TLS证书】-【添加证书】

备注可以不写，证书的添加方式选择【ACME】，证书颁发机构选择ZeroSSL或者是【Let's Encrypt】都可以。因为咱们的域名是挂在Cloudflare的，所以验证方式选择Cloudflare。

接着填写咱们准备好的Cloudflare的token（也叫api），再填写咱们DDNS动态解析时候写的域名（指向飞牛NAS的域名，建议只填写单域名）

更多设置可以打开【CNAME支持】，小白这里是关闭的。打开【忽略传播检查错误】。

最后点击【添加】即可

到这里证书就开始申请了

这里过程可能比较久，你可以把鼠标移动到【日志】查看，如果申请的人较多，这里会提示【retrying in xxxhxxxm】，这样只需要等待就好。

如果是提示【申请失败】，则更换一下证书颁发机构。

小白这个是等了1小时才申请成功的。

这样就可以了。但是证书因为是在Lucky上申请的，如果直接使用【域名：5667】访问，还是会提示不安全。因此建议让流量在Lucky上走一圈，再到飞牛的web服务，这样就可以不需要把证书部署到飞牛设置里了。

让流量在Lucky里走一圈的办法

这里有个建议，直接做这个教程：

如何只用Lucky拦截路径穿越漏洞？原来这样设置就好了。（点击蓝字跳转）

既可以让流量在Lucky里走一圈，让SSL证书生效，又能做好漏洞拦截。

如果只是想让SSL证书生效，那就按照下面的步骤：

做好飞牛防火墙设置

飞牛防火墙一定要开，且规则一定要做好。

遵循规则：尽量只开放1个端口，减少端口暴露数量。所有暴露的端口一定要先走一遍Lucky，再到对应的服务（这里的服务指的是飞牛里的其他应用页面或者是Docker项目）

具体教程：

开启的方式很简单，进入飞牛NAS的【设置】-【安全性】-【防火墙】，打开防火墙的开关即可（显示蓝色就是开启了）

虽然开启了防火墙，但是放行规则还是得调整，不然就跟没有开启一样。

在【入站规则】点击【编辑】

把这两条全删除了

删除完成之后，勾选【拒绝访问】

接着点击【新增一条】，通讯协议可以选择【全部协议】也可以【全部TCP协议】，端口开放【36237】，来源IP选择【国内IP】，权限和状态都是【生效】，点击【确认】

这里不一定要用36237这个端口，不过建议使用5位数以上的端口哦！（这个端口是准备开放给Lucky的）

接着为了防止家里的局域网无法访问NAS，新增一条，通讯协议选择【全部协议】，端口填写【1-65535】，来源IP填写家里的局域网IP段，比如小白这里的是192.168.33.190，那就写【192.168.33.0/24】，如果不确定，可以查看自己设备的IP。如果什么都不知道，那就写【192.168.0.0/16】

这样基本上就可以了。这样点击【保存】

这样就可以了，剩下的需要开启的端口再自行增加就好。

不过这里建议：开放的端口越少越好，特别是针对【来源IP】为【全部】的规则，开放的端口越少越安全。