V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tms
V2EX  ›  SSL

试了试用 Let's Encrypt 签了一张证书,真的有前途?

  •  
  •   tms · 2015-11-05 15:15:13 +08:00 · 10504 次点击
    这是一个创建于 3291 天前的主题,其中的信息可能已经有所发展或是发生改变。

    上个月就收到了官方的内测邮件,今天终于有时间折腾下。结果搞了两个小时才签了一个证书出来。不但流程各种复杂,软件还 bug 一堆。要服务器做验证不说,还得占用 80 端口,验证的时候要我关掉占用 80 的服务,它开一个 SimpleHTTPServer 来搞验证。这一般生产用的域名谁敢这么折腾。还是我姿势不对,有更简单的办法。
    而且有效期只有三个月。到时候还得重新签。又得折腾一次。
    在目前单域名付费证书这么便宜的情况下, Let's Encrypt 真的有竞争力么。
    也可能只是目前内测存在的 bug 比较多。总之希望越变越好啦,至少验证不要搞这么麻烦。。。

    letsencrypt

    44 条回复    2018-03-06 12:30:35 +08:00
    oott123
        1
    oott123  
       2015-11-05 15:18:59 +08:00 via Android
    三个月为了安全呗。
    不过关 80 略神奇,不应该提供一些别的验证方法?
    Laforet
        2
    Laforet  
       2015-11-05 15:20:02 +08:00
    内测证书时间短,正式开始服务之后应该还是一次签一年的。

    自动域名验证目前只整合了 apache ,用其他服务端确实有点难受,希望以后可以解决。如果软件做好了,还是比现在的生成私钥--->签署 CSR--->CSR 送审--->获得证书--->部署证书这一系列过程方便的。
    phoenixlzx
        3
    phoenixlzx  
       2015-11-05 15:20:58 +08:00 via Android
    楼主域名不错...
    letsencrypt 影响了一大票商业 CA 的利益,能做到这一步已经很不容易了...
    tms
        4
    tms  
    OP
       2015-11-05 15:20:58 +08:00
    @oott123 总之官方提供的工具很坑。
    tms
        5
    tms  
    OP
       2015-11-05 15:22:36 +08:00
    @phoenixlzx 名字缩写 2333333 。我反而觉得目前的体验来看短期之内它影响不了商业 CA 的利益。坐等进化
    phoenixlzx
        6
    phoenixlzx  
       2015-11-05 15:24:54 +08:00 via Android
    @tms 你要看是谁在做
    一堆搞研究的人懂生产吗?
    体验什么的基本上是被骂出来的,他们能坚持下去的话后面会慢慢好起来的
    想靠谱的话还是买商业证书吧... 短时间内这货估计还不如 cacert
    tms
        7
    tms  
    OP
       2015-11-05 15:33:08 +08:00
    @Laforet 我用 nginx 只能关掉开个 SimpleHTTPServer 了,不过看官方文档还是有打算要做其他服务端的插件的。还有我验证的时候部署网站的服务器和我开验证软件的服务器不是一台。我把域名指到验证用的服务器了。也生效了。用手动模式-a -manual 也通过了前面的。就是到验证那一步的时候还是要去我原先的服务器上验证一次。这是怎么回事。好像是本机发起一次验证,他们 api 那边还要发起一次验证。远程那次就去我之前的 ip 了。是 api 那台服务器的 dns 更新略慢还是就是不能改 ip 的机制。
    jason14
        8
    jason14  
       2015-11-05 15:41:14 +08:00
    一直在看这货到底打的什么牌 我也是卖商业 SSL 的...>>
    Cloudee
        9
    Cloudee  
       2015-11-05 15:57:21 +08:00   ❤️ 3
    可以配置把验证用的文件放到一个目录里,然后 web server 的 80 端口的 server 配上对应的 location 就成,比如 /etc/letsencrypt/cli.ini 中配置
    authenticator = webroot
    webroot-path = /srv/http/letsencrypt

    nginx 的 80 端口的服务中配置上
    location /.well-known {
    alias /srv/http/letsencrypt/.well-known;
    }
    这样更新证书就不用停原来的 80 端口了
    dndx
        10
    dndx  
       2015-11-05 15:59:26 +08:00
    不一定需要占 80 端口,如果 authenticator 使用 manual 会要求你手动创建一个 json 文件放在 Web 服务器上验证。
    tms
        11
    tms  
    OP
       2015-11-05 16:00:57 +08:00
    @Cloudee 机智。
    tms
        12
    tms  
    OP
       2015-11-05 16:01:41 +08:00
    @dndx 我最后也用是手动模式。每验证一个域名就要创建一个文件放在 web 目录里,还要强制返回成 text 类型
    kozora
        13
    kozora  
       2015-11-05 16:37:47 +08:00
    遇到这个错误= = Error: serverInternal :: The server experienced an internal error :: Error creating new authz
    dorentus
        14
    dorentus  
       2015-11-05 16:43:06 +08:00

    我是没几分钟就搞定了……

    这种验证方式之后可以做到支持自动化,到时候只要有一个有经验的人把它配置好,就不用太操心了。
    tms
        15
    tms  
    OP
       2015-11-05 16:45:25 +08:00
    @kozora 好像是 DNS 查询超时导致的。
    tms
        16
    tms  
    OP
       2015-11-05 16:47:54 +08:00
    @dorentus 如果刚好环境合适,没问题的情况下应该是挺快的。我是 python 版本、域名解析、端口绑定之类的各种小问题。而且官方的报错和文档太少了。花了很多时间在这上面。还是感觉这东西的生成对服务器依赖程度太高。
    kozora
        17
    kozora  
       2015-11-05 16:48:43 +08:00
    @tms 查询域名的吗 是在匹配邮箱和域名一样还是?
    tms
        18
    tms  
    OP
       2015-11-05 16:50:39 +08:00
    @kozora 好像是官方 api 服务器访问你域名去验证的时候 DNS 查询超时了。
    GPU
        19
    GPU  
       2015-11-05 17:23:44 +08:00
    現在還可以申請嗎?
    tms
        20
    tms  
    OP
       2015-11-05 17:36:34 +08:00
    @GPU 不清楚 你可以试试 https://letsencrypt.org/2015/09/14/our-first-cert.html 这里面的链接。要翻墙
    Showfom
        21
    Showfom  
       2015-11-05 17:39:02 +08:00 via iPhone
    @tms 用你的教程成功了,哈哈谢谢
    xierch
        22
    xierch  
       2015-11-05 17:44:33 +08:00
    毕竟是 beta 嘛...
    它的目标是全自动处理,
    一两年的有效期,配完就不管了,一年后很可能忘掉,
    三个月的有效期就不得不自动化了..
    lyragosa
        23
    lyragosa  
       2015-11-05 17:45:39 +08:00
    我是懒人

    坐等巨巨们放出一键自动化签证书续期脚本之类的……
    tms
        25
    tms  
    OP
       2015-11-05 19:40:45 +08:00 via Android
    @Showfom 我一直还用的你家的 alphassl 的通配符证书哈哈哈。
    tms
        26
    tms  
    OP
       2015-11-05 19:41:26 +08:00 via Android
    @lyragosa 现在官方这个基本就是,做个定时任务就好。但是各种小问题小 bug
    Showfom
        27
    Showfom  
       2015-11-05 20:21:42 +08:00 via iPhone
    @tms 嘿嘿
    ahu
        28
    ahu  
       2015-11-05 23:02:56 +08:00
    发现 winXP 下系统还不认 Lets 证书,楼主网站打不开...
    alect
        29
    alect  
       2015-11-05 23:50:50 +08:00
    @ahu 那是因为楼主不是独立 IP 而是用的 SNI , WinXP 不支持。。。
    tms
        30
    tms  
    OP
       2015-11-05 23:53:35 +08:00
    @alect 正解。用自己机器签了以后就丢 hostker 了。毕竟比较快还省事。只是个 blog 而已。
    nirocfz
        31
    nirocfz  
       2015-11-06 07:18:53 +08:00
    @kozora 我也碰到了这样的错误,日志里看最后收到一个 500 的响应,就异常退出了。

    acme.client:Received response <Response [500]>
    {"type":"urn:acme:error:serverInternal","detail":"Error creating new authz"}'

    看这个完成度,这个月内真能完全公开给所有人用么?
    yeyeye
        32
    yeyeye  
       2015-11-08 02:40:56 +08:00
    @alect 他的补丁没打全, XP 打满补丁的支持 SNI (具体没查出来是哪个补丁开始支持的,请不要再谣言 XP 不支持 SNI 了)
    ghw
        33
    ghw  
       2015-11-09 09:03:41 +08:00
    @yeyeye 补全的说法其实是, XP+IE 的组合。。。不管你咋整,都是不支持 SNI 的。。
    yeyeye
        34
    yeyeye  
       2015-11-09 10:49:37 +08:00
    @ghw 哥们 我真的不知道你们坚持 XP 不支持 SNI 的自信从哪来的(对不起我实在不愿意用这么的口气,但是你们有点坚持得过头了,而在 V2EX 已经遇到 N 多次如此坚持过头的事情了[我是说其他事情])

    V2EX 已经有实践贴了,但是根本就没几个人留意,看到这个帖子之后我马上做了实验,事实证明确实是真实的。

    《实践是检验真理的唯一标准—— Windows XP 支持 SNI ,即使是 Internet Explorer 6 》
    https://www.v2ex.com/t/157322
    anyforever
        35
    anyforever  
       2015-12-08 15:31:52 +08:00
    搞半天没装上, python 总是报错。。。 2.6 版本。升级到 3 版本, yum 又报错,把它改成 2.6 版解析之后,其它文件又有报错的。。。这回折腾大发了。。
    tms
        36
    tms  
    OP
       2015-12-09 11:48:51 +08:00
    @anyforever yum 在 python3 下面报错,只需要改一下 yum 就好了,目前 lets encrypt 只支持 python3
    jacy
        37
    jacy  
       2016-02-13 21:14:14 +08:00
    @yeyeye 有一台老 xp 机子,实测不支持 SNI ,不知道能否查到要打哪个补丁
    yeyeye
        38
    yeyeye  
       2016-02-14 01:18:22 +08:00
    @jacy 试着查过 没查到 可能要逐个测试 没那个耐心
    phrnet
        39
    phrnet  
       2016-10-18 10:36:13 +08:00
    tms
        40
    tms  
    OP
       2016-10-18 13:57:01 +08:00
    @phrnet https://www.v2ex.com/t/155835 下半部分是之前搞的一个东西。上半部分左边 PV 就是单纯用 redis 统计的。右边 mysql 统计是做 binlog 解析的时候顺便统计了一下。
    2ez4Kaboom
        41
    2ez4Kaboom  
       2018-03-05 11:05:23 +08:00
    问下为你的.im 域名可以使用三级域名?.im 域名不是不支持三级域名吗
    tms
        42
    tms  
    OP
       2018-03-05 11:19:03 +08:00
    @2ez4Kaboom #41 支持的啊。我是直接用二级的 NS 记录搞的
    2ez4Kaboom
        43
    2ez4Kaboom  
       2018-03-05 21:27:47 +08:00
    @tms 我在 name.com 的.im 域名,NS 显示 Due to restrictions with the .im registry, nameservers cannot be registered using this tool. 请问你在哪里注册的
    tms
        44
    tms  
    OP
       2018-03-06 12:30:35 +08:00
    @2ez4Kaboom #43 我就是在 name.com 注册的。可以用第三方 nameservers。我用的 he.net
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1035 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 19:13 · PVG 03:13 · LAX 11:13 · JFK 14:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.