V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
stevenhawking
V2EX  ›  SSL

[免费 SSL+自动续期] 发个福利!第一个大陆 OCSP 的自动续期证书机构!

  •  
  •   stevenhawking · 2021-12-15 16:43:14 +08:00 · 3052 次点击
    这是一个创建于 1102 天前的主题,其中的信息可能已经有所发展或是发生改变。

    发个福利!第一个大陆 OCSP 的自动续期证书机构!

    如何使用

    常见 ACME 客户端指定 server 参数为 https://acme.pki.plus/acme/directory 就可以

    用爱发电,我们是专业的

    测试

    ~$ acme.sh --issue -d 1.pki.plus -d 2.pki.plus -d \*.wildcard.pki.plus --dns dns_cf --dnssleep 3 --server https://acme.pki.plus/acme/directory -m [email protected]
    [2021 年 12 月 15 日 星期三 15 时 41 分 11 秒 CST] Using CA: https://acme.pki.plus/acme/directory
    [2021 年 12 月 15 日 星期三 15 时 41 分 11 秒 CST] Creating domain key
    [2021 年 12 月 15 日 星期三 15 时 41 分 11 秒 CST] The domain key is here: /Users/my/.acme.sh/1.pki.plus/1.pki.plus.key
    [2021 年 12 月 15 日 星期三 15 时 41 分 11 秒 CST] Multi domain='DNS:1.pki.plus,DNS:2.pki.plus,DNS:*.wildcard.pki.plus'
    [2021 年 12 月 15 日 星期三 15 时 41 分 11 秒 CST] Getting domain auth token for each domain
    [2021 年 12 月 15 日 星期三 15 时 41 分 32 秒 CST] Getting webroot for domain='1.pki.plus'
    [2021 年 12 月 15 日 星期三 15 时 41 分 32 秒 CST] Getting webroot for domain='2.pki.plus'
    [2021 年 12 月 15 日 星期三 15 时 41 分 32 秒 CST] Getting webroot for domain='*.wildcard.pki.plus'
    [2021 年 12 月 15 日 星期三 15 时 41 分 32 秒 CST] Adding txt value: 95_O6t7yXmwDRCjaMN4pvEuEDkNTTGLhkEmXvHB4Fdk for domain: _acme-challenge.1.pki.plus
    [2021 年 12 月 15 日 星期三 15 时 41 分 33 秒 CST] Adding record
    [2021 年 12 月 15 日 星期三 15 时 41 分 33 秒 CST] The txt record is added: Success.
    [2021 年 12 月 15 日 星期三 15 时 41 分 33 秒 CST] Adding txt value: DciaM0Yf2NZuFA2V0P9nH4hb0rUPn8a4ASoCPlEl8m4 for domain: _acme-challenge.2.pki.plus
    [2021 年 12 月 15 日 星期三 15 时 41 分 34 秒 CST] Adding record
    [2021 年 12 月 15 日 星期三 15 时 41 分 34 秒 CST] The txt record is added: Success.
    [2021 年 12 月 15 日 星期三 15 时 41 分 34 秒 CST] Adding txt value: qKzvMFoysWeyq2tH1__y-xOdgc1bIG1X3x0h_IZB_oo for domain: _acme-challenge.wildcard.pki.plus
    [2021 年 12 月 15 日 星期三 15 时 41 分 35 秒 CST] Adding record
    [2021 年 12 月 15 日 星期三 15 时 41 分 35 秒 CST] The txt record is added: Success.
    [2021 年 12 月 15 日 星期三 15 时 41 分 35 秒 CST] Sleep 3 seconds for the txt records to take effect
    [2021 年 12 月 15 日 星期三 15 时 41 分 40 秒 CST] Verifying: 1.pki.plus
    [2021 年 12 月 15 日 星期三 15 时 41 分 40 秒 CST] Success
    [2021 年 12 月 15 日 星期三 15 时 41 分 40 秒 CST] Verifying: 2.pki.plus
    [2021 年 12 月 15 日 星期三 15 时 41 分 41 秒 CST] Success
    [2021 年 12 月 15 日 星期三 15 时 41 分 41 秒 CST] Verifying: *.wildcard.pki.plus
    [2021 年 12 月 15 日 星期三 15 时 41 分 42 秒 CST] Success/span>
    [2021 年 12 月 15 日 星期三 15 时 41 分 42 秒 CST] Removing DNS records.
    [2021 年 12 月 15 日 星期三 15 时 41 分 42 秒 CST] Removing txt: 95_O6t7yXmwDRCjaMN4pvEuEDkNTTGLhkEmXvHB4Fdk for domain: _acme-challenge.1.pki.plus
    [2021 年 12 月 15 日 星期三 15 时 41 分 43 秒 CST] Removed: Success
    [2021 年 12 月 15 日 星期三 15 时 41 分 43 秒 CST] Removing txt: DciaM0Yf2NZuFA2V0P9nH4hb0rUPn8a4ASoCPlEl8m4 for domain: _acme-challenge.2.pki.plus
    [2021 年 12 月 15 日 星期三 15 时 41 分 45 秒 CST] Removed: Success
    [2021 年 12 月 15 日 星期三 15 时 41 分 45 秒 CST] Removing txt: qKzvMFoysWeyq2tH1__y-xOdgc1bIG1X3x0h_IZB_oo for domain: _acme-challenge.wildcard.pki.plus
    [2021 年 12 月 15 日 星期三 15 时 41 分 46 秒 CST] Removed: Success
    [2021 年 12 月 15 日 星期三 15 时 41 分 46 秒 CST] Verify finished, start to sign.
    [2021 年 12 月 15 日 星期三 15 时 41 分 46 秒 CST] Lets finalize the order.
    [2021 年 12 月 15 日 星期三 15 时 41 分 46 秒 CST] Le_OrderFinalize='https://acme.pki.plus/acme/order/gZ0DYcDk2Cy5XruW/finalize'
    [2021 年 12 月 15 日 星期三 15 时 41 分 47 秒 CST] Order status is processing, lets sleep and retry.
    [2021 年 12 月 15 日 星期三 15 时 41 分 47 秒 CST] Retry after: 30
    [2021 年 12 月 15 日 星期三 15 时 42 分 18 秒 CST] Polling order status: https://acme.pki.plus/acme/order/gZ0DYcDk2Cy5XruW
    [2021 年 12 月 15 日 星期三 15 时 42 分 19 秒 CST] Downloading cert.
    [2021 年 12 月 15 日 星期三 15 时 42 分 19 秒 CST] Le_LinkCert='https://acme.pki.plus/acme/order/gZ0DYcDk2Cy5XruW/download'
    [2021 年 12 月 15 日 星期三 15 时 42 分 19 秒 CST] Cert success.
    -----BEGIN CERTIFICATE-----
    MIIHMzCCBRugAwIBAgIQchUqh9zgJYk5qMYrkjV1zjANBgkqhkiG9w0BAQsFADBZ
    MQswCQYDVQQGEwJHQjEbMBkGA1UECgwSUXVhbnR1bSBDQSBMaW1pdGVkMS0wKwYD
    VQQDDCRRdWFudHVtIFNlY3VyZSBTaXRlIERWIFRMUyBDTiBSU0EgUjEwHhcNMjEx
    MjE1MDczMjA1WhcNMjIwMzE1MDczMjA1WjAVMRMwEQYDVQQDDAoxLnBraS5wbHVz
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA+DtUNqSY1DzshQU1mocm
    s0e3b40nty/zrbG6d8dJP3U6h5XarkgNIIyJN4WP0MMfWbqgidq1lqTdulGXdyfr
    Oge+a28uO1+jJQtapp99RZW9jnbeJS7xDPlDgwz4mSKo3DfGFnEjZNy+af+gdB71
    MV7V31U/jqfMEzqvVbfSQj+NGEzgkGaCw6iYruP6BlUJBgVLKNeFgSiHG4AW1c8n
    +A8gSRYeBIpLRNcYZ7rM/ABuZM01EqXt8LBTmlA4AMoGwYp+GnjTeKAbDE5ULcix
    0FU8bDfsaNSdED4KRc+orrwCbvbfMngikQN9JEHhm1yKzZHtiWw5m/XG1MdsT8oS
    2QIDAQABo4IDOTCCAzUwHwYDVR0jBBgwFoAUZljKZdp3iUBWnSe4qzAUE+OFoPMw
    cQYIKwYBBQUHAQEEZTBjMD4GCCsGAQUFBzAChjJodHRwOi8vY3J0LnNzbGNvbS5j
    bi9RdWFudHVtLUNOLURWVExTLUktUlNBLVIxLmNlcjAhBggrBgEFBQcwAYYVaHR0
    cDovL29jc3Auc3NsY29tLmNuMDYGA1UdEQQvMC2CCjEucGtpLnBsdXOCCjIucGtp
    LnBsdXOCEyoud2lsZGNhcmQucGtpLnBsdXMwUQYDVR0gBEowSDAIBgZngQwBAgEw
    PAYMKwYBBAGCqTABAwEBMCwwKgYIKwYBBQUHAgEWHmh0dHBzOi8vd3d3LnNzbC5j
    b20vcmVwb3NpdG9yeTAdBgNVHSUEFjAUBggrBgEFBQcDAgYIKwYBBQUHAwEwQwYD
    VR0fBDwwOjA4oDagNIYyaHR0cDovL2NybC5zc2xjb20uY24vUXVhbnR1bS1DTi1E
    VlRMUy1JLVJTQS1SMS5jcmwwHQYDVR0OBBYEFLBkTUWKYQmeLFkA3o9hAViPr6VT
    MA4GA1UdDwEB/wQEAwIFoDCCAX8GCisGAQQB1nkCBAIEggFvBIIBawFpAHYAVYHU
    whaQNgFK6gubVzxT8MDkOHhwJQgXL6OqHQcT0wwAAAF9vQqR8wAABAMARzBFAiEA
    9j5vQmkaCdq3bmawovUj7KetV4L+Ox4Noh3x2H0RMrcCID0+QC1QfFR7k04UROxs
    ydhEnRNSm40tg45hi9c7j5USAHcAKXm+8J45OSHwVnOfY6V35b5XfZxgCvj5TV0m
    XCVdx4QAAAF9vQqRvgAABAMASDBGAiEA/jy8EM4gLoh7mdbk/8J8pgsus22JbtX4
    05e8ZmLZJRkCIQCgfJCX5scJ5BwtZyamgbfY1fnPY7wMhQE9ayW9uN2OlwB2AEHI
    yrHfIkZKEMahOglCh15OMYsbA+vrS8do8JBilgb2AAABfb0KkYwAAAQDAEcwRQIg
    HRf/bSqpbuo4r99qWV2JQ17rjVJHDyTnx0X1NEeii8sCIQCCOuxGK0a7SNW4lF33
    jBdb99KVAPJuq3c+7AdRmOkH+jANBgkqhkiG9w0BAQsFAAOCAgEAWAxIoh/NgH7r
    3Lw+12/6cRkhDrc0esFkWRdtde19I7hMqsC6jcMkbfBDHxjiCQ2gp75ioV7H3DsH
    TWKie0q96L1DchDLDoWDHdO7s46i1pKfIEVZ9RDLxFrSNzbPd2HhGhPx0nJ7esdw
    cmyRslZjZgXk4f8V6d8jSwUh1hGo/QydSQ6uZplzGTmVWPs4buUdwJOBnIONl6QU
    P046gLgShgBhPt2Cfo0/vGRzRuPZl06aXcOxmau0yWKRGL9XGdSQTNwrojd2dUqe
    orUujrBen9mFnY0D4IVe1w8dE9kZq8vXhSoF7VeMLk6OpJbq4z99HEZv54nuIlv2
    L+vtABmSyefxEtF2PwAs+mUnqeWuGKMkXOkma+nGzU/v9Lr1SifFbOPUD2jPAs4f
    gAdyes3fTIhAtLUtNvN7IYF52bSZl45kz6CCYTK6dkcwGHkQjNS/Lfn//Ac/b6IU
    vlCLPwiBT+pfwpUsMAWjOG/qfOG+0D7ie0kIoHfesSGzL0WqhuNF46vMtC7GoUv/
    PO/WWHNmzmKmfl+FtWGUQm1DCKK1BarzQEPgaNzcZBgJK5S60jX6eKpVytAgErbA
    HcXNh6aTJgf59M1WuQRDVfex368x3v8SXKxUXieH+e+Yaf7Senpcj2FPnOAoGtZa
    0h4HtzNqoKj4kWiAPB9XDfJWj5pUCsQ=
    -----END CERTIFICATE-----
    [2021 年 12 月 15 日 星期三 15 时 42 分 19 秒 CST] Your cert is in: /Users/my/.acme.sh/1.pki.plus/1.pki.plus.cer
    [2021 年 12 月 15 日 星期三 15 时 42 分 20 秒 CST] Your cert key is in: /Users/my/.acme.sh/1.pki.plus/1.pki.plus.key
    [2021 年 12 月 15 日 星期三 15 时 42 分 20 秒 CST] The intermediate CA cert is in: /Users/my/.acme.sh/1.pki.plus/ca.cer
    [2021 年 12 月 15 日 星期三 15 时 42 分 20 秒 CST] And the full chain certs is there: /Users/my/.acme.sh/1.pki.plus/fullchain.cer
    

    OCSP 性能评测:

    对比之下海外机构,包过付费 Sectigo 证书的 OCSP 都是要 500 毫秒以上

    wget https://crt.sh/\?d\=5711085653 -O quantumca-user.crt
    wget https://crt.sh/\?d\=4089178243 -O quantumca-ca.crt
    
    for i in $(seq 0 10);
    do
    openssl ocsp -issuer quantumca-ca.crt  -cert quantumca-user.crt -nonce --reqout - | curl http://ocsp.sslcom.cn  -s -H 'Content-type: application/ocsp-request' -X POST --data-binary @- -w "Total time: %{time_total}\n"
    done
    
    > Total time: 0.028411
    > Total time: 0.013579
    > Total time: 0.014744
    > Total time: 0.013982
    > Total time: 0.015370
    > Total time: 0.012121
    > Total time: 0.012970
    > Total time: 0.014744
    > Total time: 0.015144
    > Total time: 0.015726
    > Total time: 0.013049
    
    wget https://crt.sh/\?d\=1205293401 -O sectigo-user.crt
    wget https://crt.sh/\?d\=1282303295 -O sectigo-ca.crt
    
    for i in $(seq 0 10);
    do
    openssl ocsp -issuer sectigo-ca.crt  -cert sectigo-user.crt -nonce --reqout - | curl http://ocsp.sectigo.com  -s -H 'Content-type: application/ocsp-request' -X POST --data-binary @- -w "Total time: %{time_total}\n"
    done
    Total time: 0.475027
    Total time: 0.883063
    Total time: 0.463176
    Total time: 1.403743
    Total time: 1.464955
    Total time: 0.463922
    Total time: 0.462206
    Total time: 0.445534
    Total time: 0.472526
    Total time: 0.468809
    Total time: 0.461183
    

    特殊说明

    目前是试运行阶段,受限于法规政策、CA 商务合作等关系约束,运营策略可能会变动

    10 条回复    2022-01-11 23:55:59 +08:00
    wzhpro
        1
    wzhpro  
       2021-12-15 18:50:08 +08:00
    不敢用
    stevenhawking
        2
    stevenhawking  
    OP
       2021-12-15 19:10:46 +08:00
    @wzhpro 只要你做的站点内容是合法的为啥不敢呢
    oott123
        3
    oott123  
       2021-12-15 20:41:12 +08:00 via Android   ❤️ 1
    你这个运营策略可能会变动让人就不敢用了,连承诺都不敢给。
    stevenhawking
        4
    stevenhawking  
    OP
       2021-12-15 22:42:57 +08:00
    @oott123 无所谓的,说了用爱发电,又不靠这个赚钱,免费的哪来承诺?
    isCyan
        5
    isCyan  
       2021-12-16 10:39:57 +08:00 via Android
    确实免费没有承诺。但是用户总是偏好看上去稳定的嘛。
    lvsemi1
        6
    lvsemi1  
       2021-12-16 12:16:27 +08:00
    不是挺合理的麽,各种承诺给足半个月跑路没见过?
    Shiroka
        7
    Shiroka  
       2021-12-21 10:49:11 +08:00 via iPhone
    高情商:证书链与 AWS Certificate Manager 比肩
    低情商:证书链太长了

    说实话,把证书链缩短一点比 OCSP 快多少多少更重要。毕竟 OCSP 并不是必要的,但是证书链不可或缺。重视它的站长应该也会用 OCSP Stapling 来改善查询缓慢或者超时的问题。![]( https://i.imgur.com/03MOKDP_d.png)
    stevenhawking
        8
    stevenhawking  
    OP
       2021-12-22 05:41:31 +08:00
    @Shiroka

    并非所有服务商和客户端都支持 OCSP Stapling 标准。比如阿里云 WAF 、深信服等厂商是不支持的,甚至有些情况下 APN 都不支持 OCSP Stapling 。
    AWS Certificate Chain 过长是为了保证兼容收购了 StartfieldTech 的一个 Root ,给自己做了交叉;因此自己的 Rroot (被 StartfieldTech) 必须放到链上。我们的情况类似,要将 Certum 交叉的 Root 须放到链上。

    我们觉得一次 TLS 握手多消耗 1 点几 KB 流量,相比于兼容性回报是值得的(我们能兼容 2002 年的设备客户端, 如果其支持 SHA256 + RSA 4096 的话)。
    woaihsw
        9
    woaihsw  
       2022-01-10 20:13:12 +08:00
    您这属实是在逗我, 这才二十多天, acme.pki.plus 就没解析了...

    就这还想拉人去用...
    stevenhawking
        10
    stevenhawking  
    OP
       2022-01-11 23:55:59 +08:00
    @woaihsw

    确实停了,我们有几项关键技术在做知识产权保护;

    “就这还想拉人去用...” 没有人求你用哈,欢迎不用,最好把域名发出来我们永久拉黑
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2712 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 08:20 · PVG 16:20 · LAX 00:20 · JFK 03:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.