acme.sh, ssl.md, mritd.me 等部署 Let's Encrypt 证书是否适用于部署 cdn 反代站点?

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 2822 天前的主题，其中的信息可能已经有所发展或是发生改变。

最近帮一朋友架一个 cdn,但要用 https.

假如在多个 cdn 节点服务器上定期自动更新证书,是否会有冲突?(或者说,生成的公 /密钥等数据是否能一样?)

否则担心一切换 cdn 节点，可能会造成协商、通讯失败？

@mritd @neilp @relaxchen @sneezry

CDN

站点

证书

encrypt

12 条回复 • 2017-03-11 03:00:08 +08:00

Showfom

2017-03-01 17:15:52 +08:00 via iPhone

用 txt 记录代替 http 验证

wkl17

2017-03-01 17:20:15 +08:00

@Showfom 我刚使用 Let's ，不知道 txt 记录加一次之后， 3 个月以后更新证书，是否 txt 值会重新生成？我就担心每次都会改变，否则用 txt 的方式也 OK 。

好像主楼 at 没效果？再 at 一下各位：
@mritd @neilp @relaxchen @sneezry

pubby

2017-03-01 18:06:32 +08:00

@wkl17 当然要变，要不然怎么证明三个月后的你还是这个域名的管理者？

neilp

2017-03-01 18:13:15 +08:00 via iPhone

理论上要求变，每次验证都不一样

quericy

2017-03-01 19:31:29 +08:00 via iPhone

我记得 renew 不用变的吧，之前用的 acme.sh 每个月自动续期，也没再去改过 dns ，还不是好好的

wkl17

2017-03-01 19:37:29 +08:00

@quericy 你有配置 DNS API 吗？

sneezry

2017-03-01 20:02:30 +08:00 via iPhone

https://www.v2ex.com/t/323677#reply48

quericy

2017-03-01 20:19:17 +08:00

@wkl17 #6 没有。所以我印象里一直都是， renew 的时候只要原来的 txt 记录还是生效的就能验证通过。

relaxchen

2017-03-01 22:07:56 +08:00

@wkl17 我也是刚开始用这个，我不太清楚这个 TXT 记录要不要手动更新，找不到说明文件，但是看#8 的说法，应该是不需要，不放心的话可以配置 DNS API 。

doubleflower

2017-03-02 07:28:48 +08:00

我现在是在一台服务器上用 acme.sh 生成所有证书，然后所有反代定期从那个服务器下载。

有一个坑是下载后发现证书有更新要重启 nginx ，单单更新文件是不行的。

quericy

2017-03-06 19:14:24 +08:00

@doubleflower #10 证书更新当然要重启，但 nginx 是可以平滑重启的

msg7086

2017-03-11 03:00:08 +08:00

@doubleflower 我记得只要 reload 就行了，不用 restart 的吧？

acme.sh, ssl.md, mritd.me 等 部署 Let's Encrypt 证书是否适用于部署 cdn 反代站点?

acme.sh, ssl.md, mritd.me 等部署 Let's Encrypt 证书是否适用于部署 cdn 反代站点?