V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
herozzm
V2EX  ›  问与答

acme.sh 申请了 *.xx.com 泛证书, sub.xx.com 可以,但是 sub.sub.xx.com 提示证书无效

  •  
  •   herozzm · 2020-02-22 14:38:29 +08:00 · 3677 次点击
    这是一个创建于 1735 天前的主题,其中的信息可能已经有所发展或是发生改变。

    怎么让证书真正支持无穷级的域名?

    19 条回复    2021-02-26 13:15:49 +08:00
    msg7086
        1
    msg7086  
       2020-02-22 14:41:33 +08:00
    没有这个功能。
    herozzm
        2
    herozzm  
    OP
       2020-02-22 14:43:31 +08:00
    @msg7086 那么支持 3 级,能 *.*.xx.com 这样吧?
    manami
        3
    manami  
       2020-02-22 14:45:52 +08:00 via Android
    应该不行吧
    herozzm
        4
    herozzm  
    OP
       2020-02-22 14:49:51 +08:00
    @manami 通配符只能出现一次,可以 *.sub.xx.com 去申请
    但是我下面有无数个三级域名出现的网站 都想用证书,怎么办
    qistchan
        5
    qistchan  
       2020-02-22 14:57:45 +08:00
    *.xx.com 不包含 *.aa.xx.com 的。。
    Tumblr
        6
    Tumblr  
       2020-02-22 15:00:26 +08:00   ❤️ 1
    @herozzm #3 你有两个方法可以选择:
    1. 重新规划你们的域名使用
    2. 多申请几个类似于 *.sub.xx.com 这样的证书

    二选一,没有第三种了。
    alect
        7
    alect  
       2020-02-22 15:08:27 +08:00
    要手动去给二级域名再去申请
    anubu
        8
    anubu  
       2020-02-22 15:11:02 +08:00   ❤️ 2
    1. *.aa.com 和*.sub1.aa.com 不存在包含和被包含的关系
    2. 目前还不存在类似*.*.aa.com 的多级泛域名证书,但在同一个证书里可以包含多个(泛)域名,如*.aa.com\*.sub1.aa.com\*.sub2.aa.com 可以签发为同一个证书。

    有几个方案可以参考:
    1. 如果 sub 这一级是有限的,可以考虑签发多个单级泛域名在同一证书
    2. 调整域名规划,如 sub 不作为一级而最为一个后缀-sub1
    3. 不使用泛域名证书,在 web 服务器上配置自动签发,配置新域名即自动签发该域名的证书
    dot2017
        9
    dot2017  
       2020-02-22 15:17:19 +08:00
    你可以给你的二级域名申请一个泛域名证书 *.sub.xx.com
    stille
        10
    stille  
       2020-02-22 15:18:55 +08:00
    搭车稳下 CF 的 dns,我申请*.xx.com 不成功 xxx.xx.com 单二级域名可以...是什么回事啊..
    腾讯云阿里云的都没问题..
    stille
        11
    stille  
       2020-02-22 15:19:55 +08:00
    还有就是用 dns alias,使用阿里云的 dns 就是没成功过....有人用过这个方式么
    herozzm
        12
    herozzm  
    OP
       2020-02-22 15:24:51 +08:00
    @stille 我都用过,没问题
    ```shell
    # 阿里云设置 AccessKey 变量
    export Ali_Key="你的 key"
    export Ali_Secret="你的 Secret"

    # 设置域名变量
    domain="4008480871.com"

    # 阿里云执行命令
    acme.sh --issue --force --dns dns_ali -d $domain -d "*.$domain" -k ec-256

    mkdir /etc/nginx/conf.d/ssl/$domain
    acme.sh --install-cert -d $domain --ecc \
    --key-file /etc/nginx/conf.d/ssl/$domain/domain.key \
    --fullchain-file /etc/nginx/conf.d/ssl/$domain/fullchain.cer \
    --reloadcmd "docker exec -itd nginx service nginx force-reload"
    stille
        13
    stille  
       2020-02-22 15:30:25 +08:00
    @herozzm 我说的是 dns alias,也就是阿里云我有管理权 有 Key 和 Secret.和域名 aaa.com

    然后腾讯云有 2 个域名,可以自己做解析,但是因为特殊原因无法使用 api...参照官方文档做 CNAME 到 aaa.com 使用 dns alina 功能...没成功
    herozzm
        14
    herozzm  
    OP
       2020-02-22 15:34:33 +08:00
    这个没弄过
    @stille
    nieqibest
        15
    nieqibest  
       2020-02-22 16:59:50 +08:00 via Android
    没有,let's encrypt 官方文档有提到过
    Tink
        16
    Tink  
       2020-02-22 18:04:28 +08:00 via iPhone
    肯定不行啊
    everyx
        17
    everyx  
       2020-02-22 18:25:51 +08:00 via Android
    @stille cloudflare 免费版本不支持三级域名的证书
    cydian
        18
    cydian  
       2020-02-23 09:44:52 +08:00
    @anubu 正解
    DT37
        19
    DT37  
       2021-02-26 13:15:49 +08:00
    巧了我也碰到类似的问题了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5316 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 07:38 · PVG 15:38 · LAX 23:38 · JFK 02:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.