V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wkl17
V2EX  ›  SSL

Let'sEncrypt 证书 CDN 站点是不是搞不了?还有其他 Free SSL?

  •  
  •   wkl17 · 2017-02-27 04:16:07 +08:00 · 3758 次点击
    这是一个创建于 2827 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Let'sEncrypt 证书 CDN 站点是不是搞不了?

    因为证书自动签发工具在签发过程中会生成验证内容,但会返回 400 错误。

    可惜了, StartSSL 不被 Safari 和 Chrome 认可。

    是否有解?否则的话是否还有被主流 浏览器所认可的 FreeSSL ?

    22 条回复    2017-03-01 19:34:50 +08:00
    wkl17
        1
    wkl17  
    OP
       2017-02-27 04:19:16 +08:00
    另外, Let's 是否支持 cname 之类的方式验证?
    wkl17
        2
    wkl17  
    OP
       2017-02-27 04:24:53 +08:00
    另外,我看了很多篇 Let's 教程,但都没讲原理,它到底 是 /支持 哪些域名所有权 验证方式?我看了的一篇,应该是验证网页文件的方式。但另一篇文章又写 可以手工验证?但步骤太多,一时没看明白。
    lydasia
        3
    lydasia  
       2017-02-27 04:35:11 +08:00
    let's encrypt 的证书跟别家有什么区别?只是有些 cdn 不支持短期的证书吧。阿里云 cdn 部署过没问题的。麻烦先自己百度 /谷歌。没看明白就看明白了再来嚷什么支持不支持的。
    yujizmq
        4
    yujizmq  
       2017-02-27 06:42:47 +08:00 via Android
    可以 txt 记录验证
    mritd
        5
    mritd  
       2017-02-27 08:05:44 +08:00 via iPhone
    请访问 acme.sh 拿走不谢
    relaxchen
        6
    relaxchen  
       2017-02-27 08:37:14 +08:00
    @lydasia 你在签发前就部署了 CDN ?

    @wkl17 你可以试试用 DNS 验证的方式,方法#5 给出了,,我昨晚试了试,能正常签下证书,但是我在其他步骤除了点小问题,准备今天晚上回去再试试。
    mritd
        7
    mritd  
       2017-02-27 08:48:37 +08:00 via iPhone
    @relaxchen 安装的时候出了问题?
    relaxchen
        8
    relaxchen  
       2017-02-27 08:59:04 +08:00
    @mritd 按照他的说明,我使用的是非 ROOT 权限,
    “创建 一个 bash 的 alias, 方便你的使用: acme.sh=~/.acme.sh/acme.sh ”,但是我还是不能直接 acme.sh 运行,需要./acme.sh 才能运行,然后就是“ 3. copy/安装 证书”中的指令,提示我没有权限,但是我实际上已经把他的示例地址修改为我 home 目录下的一个文件夹了。
    itisthecon
        9
    itisthecon  
       2017-02-27 08:59:30 +08:00
    之前用 dnspod 一直失败, 换了个就好了
    relaxchen
        10
    relaxchen  
       2017-02-27 08:59:58 +08:00
    @relaxchen 补充说明,系统是 Debian 8 X64
    neilp
        11
    neilp  
       2017-02-27 09:19:16 +08:00
    有问题来这里 报 bug, 贴 log https://github.com/Neilpang/acme.sh/issues
    zhfish
        12
    zhfish  
       2017-02-27 09:39:27 +08:00 via iPhone
    有时候调用 api 需要翻墙,其它问题没遇到过, txt 验证+dnspod
    sneezry
        13
    sneezry  
       2017-02-27 10:00:46 +08:00 via iPhone
    也可以试试 ssl.md ,支持 cname(逃
    wkl17
        14
    wkl17  
    OP
       2017-02-28 00:59:11 +08:00
    @mritd @neilp 感谢,已经「初步实现」了主域的 https 。但是 wap 和 m 的子域,还是不行。我看 acme.sh 官网的说明,是同时支持主域+多个子域的?但为何我用了,访问 wap 和 m 都提示证书有问题?看证书信息,里面的域名也只是主域的,没有子域的。

    另外,证书到期后,如果续签,是不是 TXT 记录值也会重新生成?因为现在还没到期,不太了解续签 是否会重新生成(这点对我而言很重要,因为我用的不是 Apahce/Nginx 这样的主流 web server ,担心兼容问题)

    感谢 @relaxchen 。我一开始就是因为没有 alias ,所以执行不了,后来 find 之后 才成功执行。做了 alias 就方便多了。

    @sneezry 这样的话,是不是以后 renew ,就不需要担心像 TXT 记录的值 续签会重新生成的情况?谢谢。
    wkl17
        15
    wkl17  
    OP
       2017-02-28 01:27:58 +08:00
    @wkl17 @mritd @neilp 子域证书错误的问题 已经找到原因了——因为没有重启 web server..囧 rz 重启后 就好了。
    现在就剩自动更新证书的问题了,不知道 TXT 值会不会每次都要重新生成?如果不需要,那就已经完美了。

    另外,各位用了 Let'sEncrypt 的证书后,在 https://www.ssllabs.com/ssltest 测试后是什么等级呢?我测试竟然是 F.....因为我用的不是 Nginx/Apache ,可能还有什么配置需要优化。

    顺便再问一下, chain 和 fullchain 假如用 Apache/Nginx ,是否需要加到 vhost.conf 里?我看网上有个例子,貌似是说使用 fullchain ,证书树 能显示 comodo (该帖子截图看到 comodo 的,也就是证书颁发者?但是我没使用 fullchain ,也有显示 Let'sEncrypt 啊??所以对此感到好奇,顺带求解。
    sneezry
        16
    sneezry  
       2017-02-28 01:28:42 +08:00 via iPhone
    @wkl17 是的,因为 cname 已经托管了
    sneezry
        17
    sneezry  
       2017-02-28 01:29:57 +08:00 via iPhone
    @wkl17 要用 fullchain ,证书链要完整
    mritd
        18
    mritd  
       2017-02-28 19:25:04 +08:00 via iPhone
    @wkl17 用 nginx 吧,我给你个轻松 A+的配置 我的 https://mritd.me
    mritd
        19
    mritd  
       2017-02-28 21:18:45 +08:00
    @wkl17 关于证书生成可以参考这个脚本 https://github.com/mritd/shell_scripts/blob/master/acme_cert_install.sh ,对于 nginx 配置的话可以采用火狐的那个自动生成最佳配置,基本怼上以后轻松拿 A+
    wkl17
        20
    wkl17  
    OP
       2017-03-01 16:54:01 +08:00
    @sneezry ssl.md 是否有自动化工具?我验证域名后,之后的步骤要手工操作?
    wkl17
        21
    wkl17  
    OP
       2017-03-01 16:55:37 +08:00
    @mritd 感谢,不过我用的不是 Ngx/Apache.如果后面的站点有用 Ngx,我会尝试一下.谢谢.
    wkl17
        22
    wkl17  
    OP
       2017-03-01 19:34:50 +08:00
    @mritd @neilp 我前两天成功 issue 了一个站点。今天在同一台服务器上,再 issue 另一个域名,但配置好、也重启 web server 了,但访问时,证书却是前两天那个站点的证书。难道在同一台服务器上 只能 issue 一个站点吗? Web Server 也已经启用了 SNI 。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2676 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 03:37 · PVG 11:37 · LAX 19:37 · JFK 22:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.