怎么让一个网站签发多张 letsencrypt 证书？

This topic created in 3549 days ago, the information mentioned may be changed or developed.

需要每个子域名一个 letsencrypt 证书，目前主域名 yuhaitao.com 和图片子域名 image.yuhaitao.com 已经通过 https://www.sslforfree.com 签发两张 letsencrypt 证书，且可以顺利续期。
由于全站强制 https ，不知道怎么解除强制 https ，导致在 https://www.sslforfree.com 签发新的子域名:qiandao.yuhaitao.com 无法打开 http://qiandao.yuhaitao.com/.well-known/acme-challenge/PaJY7bcGojWV2e5dWy0QShIX9Db9-DUgcN_oXNiazvU （会自动跳转到 https,导致打不开）而不能签发证书，现在已是死循环。
网站是虚拟主机 cpanel 管理界面，虚拟主机有别的办法签发 letsencrypt 证书吗？
或者怎么解除强制 https?

强制

域名

子域名

解除

36 replies • 2016-10-19 13:41:23 +08:00

mrjoel

Sep 17, 2016 via iPhone

把需要签发的子域解析道另一台没有部署 https 的临时服务器

yuhaaitao

Sep 17, 2016

@mrjoel 临时服务器上搭建博客程序，验证后再解析到之前的服务器吗？

mrjoel

Sep 17, 2016

@yuhaaitao 找了一个教程你参考 http://www.laozuo.org/7742.html

.well-known/ 这个目录只是验证文件的话，只要你在另一个临时服务器上建立目录，并上传验证文件通过验证就行了。

sneezry

Sep 17, 2016 via Android

试试我写的 let's encrypt agent😃 https://ssl.md

ovear

Sep 17, 2016

cloudxns let's encrypt

yuhaaitao

Sep 17, 2016

@sneezry 就是为这个时候准备的呀，正在解析域名

这样对不？

yuhaaitao

Sep 17, 2016

@mrjoel 谢谢，之前也是参考这篇文章配置的，现在临时服务器不好找，有个版瓦工的 vps ，刚搞了一个不会弄，域名解析不过去。

sneezry

Sep 17, 2016 via Android

@yuhaaitao 是 NS ，不是 CNAME

sneezry

Sep 17, 2016 via Android

@yuhaaitao _acme-challenge.qiandao ，主机名写这个

yuhaaitao

Sep 17, 2016

@yuhaaitao
到这一步是什么意思？

sneezry

Sep 17, 2016 via Android

@yuhaaitao 传 csr 上去就可以签发证书了， csr 生成的命令在填写 csr 的页面有提示

yuhaaitao

Sep 17, 2016

@sneezry
命令这样写的
openssl req -new -newkey rsa:2048 -nodes
-out qiandao_yuhaitao_com.csr -keyout qiandao_yuhaitao_com.key
-subj "/C=US/ST=California/L=xinye/O=签到 /OU=签到程序 /CN=qiandao.yuhaitao.com"

提交后没反应

sneezry

Sep 17, 2016 via Android

把 qiandao_yuhaitao_com.csr 的内容完整复制进 CSR 那个页面的文本框中，然后上传，应该就会提示证书会发到你的邮箱里了

yuhaaitao

Sep 17, 2016

@sneezry
在那个网站上下载文件吗？

这个网站上生成的上传后没反应。

tension

Sep 17, 2016

去 https://ssl.50api.net/ 签发一张泛域名搞定。。。

arfaWong

Sep 17, 2016

https://github.com/Neilpang/acme.sh
使用第八种方法 Automatic DNS API integration

sneezry

Sep 17, 2016 via Android

@yuhaaitao 那个网站只给你运行命令，不帮你生成 CSR ，任何帮你生成 CSR 的服务都能掌握你的私钥，从而对你的网站做中间人攻击，那个命令需要你自己在终端里运行。

huangtao728

Sep 17, 2016

@tension
这个怎么用？

yuhaaitao

Sep 17, 2016

@tension 泛域名好像很厉害

yuhaaitao

Sep 17, 2016

@sneezry
谢谢，我在网上找了个在线生成 crs 的，填上去就行了。
在线生成的会受到攻击吗？
证书更新了两次， crs 应该不变。

sneezry

Sep 17, 2016 via Android

@yuhaaitao 帮你生成 csr 的网站只是能够对你进行中间人攻击，但不代表他会这么做。

yuhaaitao

Sep 17, 2016

@sneezry 谢谢，便利就容易留下安全隐患。

tension

Sep 17, 2016

@huangtao728
@yuhaaitao

Gift-57c4253adefcd
Gift-57c4253ae148a
Gift-57c4253ae39a1
Gift-57c4253ae5c89
Gift-57c4253ae819e
Gift-57c4253aea409
Gift-57c4253aec8ce
Gift-57c4253aeeb47
Gift-57c4253af100a
Gift-57c4253af32c3

十个码。。。 =）

记得备份证书，这个不需要生成 CSR 的。直接配置即可。

sneezry

Sep 17, 2016 via Android

@yuhaaitao 是的， https://www.v2ex.com/t/302020#reply18

ovear

Sep 17, 2016

@tension 我擦？ starssl 支持免费泛域名？

yuhaaitao

Sep 17, 2016

@tension
多谢礼品码，也能体验泛域名证书了。

YK46PTT

Sep 17, 2016

Gift-57c4253aec8ce 已用。谢谢 @tension

crystom

Sep 17, 2016

@tension 用 chromebook 打开网站提示请使用 PC 端访问该网页，我的 ua 是 Mozilla/5.0 (X11; CrOS x86_64 8530.81.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.103 Safari/537.36,不过似乎覆盖 ua 也不行

huangtao728

Sep 17, 2016

@tension
感谢！
Gift-57c4253af32c3
已用~签发流程好快！