Let'sEncrypt 证书 CDN 站点是不是搞不了？还有其他 Free SSL？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 2828 天前的主题，其中的信息可能已经有所发展或是发生改变。

Let'sEncrypt 证书 CDN 站点是不是搞不了？

因为证书自动签发工具在签发过程中会生成验证内容，但会返回 400 错误。

可惜了， StartSSL 不被 Safari 和 Chrome 认可。

是否有解？否则的话是否还有被主流浏览器所认可的 FreeSSL ？

CDN

证书

签发

站点

22 条回复 • 2017-03-01 19:34:50 +08:00

wkl17

2017-02-27 04:19:16 +08:00

另外， Let's 是否支持 cname 之类的方式验证？

wkl17

2017-02-27 04:24:53 +08:00

另外，我看了很多篇 Let's 教程，但都没讲原理，它到底是 /支持哪些域名所有权验证方式？我看了的一篇，应该是验证网页文件的方式。但另一篇文章又写可以手工验证？但步骤太多，一时没看明白。

lydasia

2017-02-27 04:35:11 +08:00

let's encrypt 的证书跟别家有什么区别？只是有些 cdn 不支持短期的证书吧。阿里云 cdn 部署过没问题的。麻烦先自己百度 /谷歌。没看明白就看明白了再来嚷什么支持不支持的。

yujizmq

2017-02-27 06:42:47 +08:00 via Android

可以 txt 记录验证

mritd

2017-02-27 08:05:44 +08:00 via iPhone

请访问 acme.sh 拿走不谢

relaxchen

2017-02-27 08:37:14 +08:00

@lydasia 你在签发前就部署了 CDN ？

@wkl17 你可以试试用 DNS 验证的方式，方法#5 给出了，，我昨晚试了试，能正常签下证书，但是我在其他步骤除了点小问题，准备今天晚上回去再试试。

mritd

2017-02-27 08:48:37 +08:00 via iPhone

@relaxchen 安装的时候出了问题？

relaxchen

2017-02-27 08:59:04 +08:00

@mritd 按照他的说明，我使用的是非 ROOT 权限，
“创建一个 bash 的 alias, 方便你的使用: acme.sh=~/.acme.sh/acme.sh ”，但是我还是不能直接 acme.sh 运行，需要./acme.sh 才能运行，然后就是“ 3. copy/安装证书”中的指令，提示我没有权限，但是我实际上已经把他的示例地址修改为我 home 目录下的一个文件夹了。

itisthecon

2017-02-27 08:59:30 +08:00

之前用 dnspod 一直失败，换了个就好了

relaxchen

2017-02-27 08:59:58 +08:00

@relaxchen 补充说明，系统是 Debian 8 X64

neilp

2017-02-27 09:19:16 +08:00

有问题来这里报 bug, 贴 log https://github.com/Neilpang/acme.sh/issues

zhfish

2017-02-27 09:39:27 +08:00 via iPhone

有时候调用 api 需要翻墙，其它问题没遇到过， txt 验证+dnspod

sneezry

2017-02-27 10:00:46 +08:00 via iPhone

也可以试试 ssl.md ，支持 cname(逃

wkl17

2017-02-28 00:59:11 +08:00

@mritd @neilp 感谢，已经「初步实现」了主域的 https 。但是 wap 和 m 的子域，还是不行。我看 acme.sh 官网的说明，是同时支持主域+多个子域的？但为何我用了，访问 wap 和 m 都提示证书有问题？看证书信息，里面的域名也只是主域的，没有子域的。

另外，证书到期后，如果续签，是不是 TXT 记录值也会重新生成？因为现在还没到期，不太了解续签是否会重新生成（这点对我而言很重要，因为我用的不是 Apahce/Nginx 这样的主流 web server ，担心兼容问题）

感谢 @relaxchen 。我一开始就是因为没有 alias ，所以执行不了，后来 find 之后才成功执行。做了 alias 就方便多了。

@sneezry 这样的话，是不是以后 renew ，就不需要担心像 TXT 记录的值续签会重新生成的情况？谢谢。

wkl17

2017-02-28 01:27:58 +08:00

@wkl17 @mritd @neilp 子域证书错误的问题已经找到原因了——因为没有重启 web server..囧 rz 重启后就好了。
现在就剩自动更新证书的问题了，不知道 TXT 值会不会每次都要重新生成？如果不需要，那就已经完美了。

另外，各位用了 Let'sEncrypt 的证书后，在 https://www.ssllabs.com/ssltest 测试后是什么等级呢？我测试竟然是 F.....因为我用的不是 Nginx/Apache ，可能还有什么配置需要优化。

顺便再问一下， chain 和 fullchain 假如用 Apache/Nginx ，是否需要加到 vhost.conf 里？我看网上有个例子，貌似是说使用 fullchain ，证书树能显示 comodo （该帖子截图看到 comodo 的，也就是证书颁发者？但是我没使用 fullchain ，也有显示 Let'sEncrypt 啊？？所以对此感到好奇，顺带求解。

sneezry

2017-02-28 01:28:42 +08:00 via iPhone

@wkl17 是的，因为 cname 已经托管了

sneezry

2017-02-28 01:29:57 +08:00 via iPhone

@wkl17 要用 fullchain ，证书链要完整

mritd

2017-02-28 19:25:04 +08:00 via iPhone

@wkl17 用 nginx 吧，我给你个轻松 A+的配置我的 https://mritd.me

mritd

2017-02-28 21:18:45 +08:00

@wkl17 关于证书生成可以参考这个脚本 https://github.com/mritd/shell_scripts/blob/master/acme_cert_install.sh ，对于 nginx 配置的话可以采用火狐的那个自动生成最佳配置，基本怼上以后轻松拿 A+

wkl17

2017-03-01 16:54:01 +08:00

@sneezry ssl.md 是否有自动化工具?我验证域名后,之后的步骤要手工操作?

wkl17

2017-03-01 16:55:37 +08:00

@mritd 感谢，不过我用的不是 Ngx/Apache.如果后面的站点有用 Ngx,我会尝试一下.谢谢.

wkl17

2017-03-01 19:34:50 +08:00

@mritd @neilp 我前两天成功 issue 了一个站点。今天在同一台服务器上，再 issue 另一个域名，但配置好、也重启 web server 了，但访问时，证书却是前两天那个站点的证书。难道在同一台服务器上只能 issue 一个站点吗？ Web Server 也已经启用了 SNI 。