V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wolfperson90
V2EX  ›  SSL

关于 let's encrypt 证书,有个疑问请教

  •  
  •   wolfperson90 · 2017-06-23 10:08:12 +08:00 · 3053 次点击
    这是一个创建于 2735 天前的主题,其中的信息可能已经有所发展或是发生改变。

    请教下各位大神,现在我有两个域名+两个服务器,两个服务器上都布置了解析,一个作为正常访问,一个作为备份机器。假设是 a.comb.com,现在要申请 ssl 证书,我有两个选择,哪个是正确的,求告知。

    1、两个机器上分别 webroot 申请单独的证书

    2、在一个机器上申请证书,然后每次更新证书后,发送到另一个机器

    17 条回复    2017-07-06 14:48:35 +08:00
    ghostheaven
        1
    ghostheaven  
       2017-06-23 10:18:09 +08:00 via Android
    2 比 1 有什么有点吗?看不出
    pimin
        2
    pimin  
       2017-06-23 10:25:02 +08:00 via Android
    正常的逻辑肯定是 1.
    流程简化,自动更新之类都是有成熟解决方案的,你自己复制看似一个简单的复制粘贴,时间和风险成本肯定都超出你的预期; A、B 虽然都是你的服务器,但肯定交集越少越好,隔离程度越高,于安全越有利;
    coolyujiyu
        3
    coolyujiyu  
       2017-06-23 10:26:41 +08:00
    1、两个域名都要申请证书。
    2、两个服务器分别部署证书。
    3、两个服务器分别自动更新证书。
    Terenc3
        4
    Terenc3  
       2017-06-23 10:28:17 +08:00
    我的情况和你的一样,enginx.netenginx.cn

    我的做法是在网络环境较好的机子上申请和续签证书,然后通过 SSH 隧道 rsync 同步过去到另一台机子上。

    写个简单的脚本定时检查证书有效期,自动续签。

    另一台则每天检查证书是否有变动,有变动则同步,然后 reload nginx。
    wolfperson90
        5
    wolfperson90  
    OP
       2017-06-23 10:29:31 +08:00
    @coolyujiyu 我在两个机器上对同一个域名申请证书,会不会覆盖,在 lets 上可以查询到两个吗
    coolyujiyu
        6
    coolyujiyu  
       2017-06-23 10:42:59 +08:00
    @wolfperson90 额,你有两个域名,肯定是分别对两个域名申请证书,你说的两个机器申请一个域名的我也没试过,可能会覆盖
    momocraft
        7
    momocraft  
       2017-06-23 10:50:31 +08:00
    我也有类似的需求。目前在用 1 但其实想要类似 2 的方法。
    不知道有没有简单的,多机同步的文件系统..这样的东西。
    Tink
        8
    Tink  
       2017-06-23 10:53:19 +08:00
    @wolfperson90 #5 你到底是几个域名
    wolfperson90
        9
    wolfperson90  
    OP
       2017-06-23 10:55:06 +08:00
    @Tink 两个域名 a.com b.com,在一个机器上,另一个机器是灾备机器,必要的时候切换的
    wolfperson90
        10
    wolfperson90  
    OP
       2017-06-23 10:56:21 +08:00
    @momocraft 你在两个机器上对同一个域名申请证书,不会覆盖吗,我最想了解这个😄
    momocraft
        11
    momocraft  
       2017-06-23 10:58:03 +08:00
    @wolfperson90 我是用 dns challenge 申请的,不需要绑定域名到 IP。
    Tink
        12
    Tink  
       2017-06-23 11:05:33 +08:00 via iPhone
    @wolfperson90 两个域名就各自在各自的服务器上申请各自的证书就行了啊
    tttttttt
        13
    tttttttt  
       2017-06-23 11:34:34 +08:00
    @coolyujiyu 同意,如果是两个顶级域名还在不同的服务器部署,还是分开申请吧
    jarlyyn
        14
    jarlyyn  
       2017-06-23 11:34:42 +08:00
    可以用 dns 解析申请……
    neilp
        15
    neilp  
       2017-06-23 12:45:38 +08:00 via iPhone
    如果可以用 dns api 完整的话 建议单独分开申请
    如果 webroot 验证的话 只能采用 2
    gongjianwei
        16
    gongjianwei  
       2017-06-23 19:59:29 +08:00 via Android
    分开申请吧
    msg7086
        17
    msg7086  
       2017-07-06 14:48:35 +08:00
    「在 lets 上可以查询到两个吗」

    你先等等,你什么时候能在 lets 上查询证书了?

    「你在两个机器上对同一个域名申请证书,不会覆盖吗」

    覆盖什么?证书都在你服务器硬盘上,能覆盖什么?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5391 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 08:32 · PVG 16:32 · LAX 00:32 · JFK 03:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.