上个月就收到了官方的内测邮件,今天终于有时间折腾下。结果搞了两个小时才签了一个证书出来。不但流程各种复杂,软件还 bug 一堆。要服务器做验证不说,还得占用 80 端口,验证的时候要我关掉占用 80 的服务,它开一个 SimpleHTTPServer 来搞验证。这一般生产用的域名谁敢这么折腾。还是我姿势不对,有更简单的办法。
而且有效期只有三个月。到时候还得重新签。又得折腾一次。
在目前单域名付费证书这么便宜的情况下, Let's Encrypt 真的有竞争力么。
也可能只是目前内测存在的 bug 比较多。总之希望越变越好啦,至少验证不要搞这么麻烦。。。
1
oott123 2015-11-05 15:18:59 +08:00 via Android
三个月为了安全呗。
不过关 80 略神奇,不应该提供一些别的验证方法? |
2
Laforet 2015-11-05 15:20:02 +08:00
内测证书时间短,正式开始服务之后应该还是一次签一年的。
自动域名验证目前只整合了 apache ,用其他服务端确实有点难受,希望以后可以解决。如果软件做好了,还是比现在的生成私钥--->签署 CSR--->CSR 送审--->获得证书--->部署证书这一系列过程方便的。 |
3
phoenixlzx 2015-11-05 15:20:58 +08:00 via Android
楼主域名不错...
letsencrypt 影响了一大票商业 CA 的利益,能做到这一步已经很不容易了... |
5
tms OP @phoenixlzx 名字缩写 2333333 。我反而觉得目前的体验来看短期之内它影响不了商业 CA 的利益。坐等进化
|
6
phoenixlzx 2015-11-05 15:24:54 +08:00 via Android
|
7
tms OP @Laforet 我用 nginx 只能关掉开个 SimpleHTTPServer 了,不过看官方文档还是有打算要做其他服务端的插件的。还有我验证的时候部署网站的服务器和我开验证软件的服务器不是一台。我把域名指到验证用的服务器了。也生效了。用手动模式-a -manual 也通过了前面的。就是到验证那一步的时候还是要去我原先的服务器上验证一次。这是怎么回事。好像是本机发起一次验证,他们 api 那边还要发起一次验证。远程那次就去我之前的 ip 了。是 api 那台服务器的 dns 更新略慢还是就是不能改 ip 的机制。
|
8
jason14 2015-11-05 15:41:14 +08:00
一直在看这货到底打的什么牌 我也是卖商业 SSL 的...>>
|
9
Cloudee 2015-11-05 15:57:21 +08:00 3
可以配置把验证用的文件放到一个目录里,然后 web server 的 80 端口的 server 配上对应的 location 就成,比如 /etc/letsencrypt/cli.ini 中配置
authenticator = webroot webroot-path = /srv/http/letsencrypt nginx 的 80 端口的服务中配置上 location /.well-known { alias /srv/http/letsencrypt/.well-known; } 这样更新证书就不用停原来的 80 端口了 |
10
dndx 2015-11-05 15:59:26 +08:00
不一定需要占 80 端口,如果 authenticator 使用 manual 会要求你手动创建一个 json 文件放在 Web 服务器上验证。
|
13
kozora 2015-11-05 16:37:47 +08:00
遇到这个错误= = Error: serverInternal :: The server experienced an internal error :: Error creating new authz
|
14
dorentus 2015-11-05 16:43:06 +08:00
|
16
tms OP @dorentus 如果刚好环境合适,没问题的情况下应该是挺快的。我是 python 版本、域名解析、端口绑定之类的各种小问题。而且官方的报错和文档太少了。花了很多时间在这上面。还是感觉这东西的生成对服务器依赖程度太高。
|
19
GPU 2015-11-05 17:23:44 +08:00
現在還可以申請嗎?
|
20
tms OP @GPU 不清楚 你可以试试 https://letsencrypt.org/2015/09/14/our-first-cert.html 这里面的链接。要翻墙
|
22
xierch 2015-11-05 17:44:33 +08:00
毕竟是 beta 嘛...
它的目标是全自动处理, 一两年的有效期,配完就不管了,一年后很可能忘掉, 三个月的有效期就不得不自动化了.. |
23
lyragosa 2015-11-05 17:45:39 +08:00
我是懒人
坐等巨巨们放出一键自动化签证书续期脚本之类的…… |
24
zho6 2015-11-05 19:04:26 +08:00
|
28
ahu 2015-11-05 23:02:56 +08:00
发现 winXP 下系统还不认 Lets 证书,楼主网站打不开...
|
31
nirocfz 2015-11-06 07:18:53 +08:00
@kozora 我也碰到了这样的错误,日志里看最后收到一个 500 的响应,就异常退出了。
acme.client:Received response <Response [500]> {"type":"urn:acme:error:serverInternal","detail":"Error creating new authz"}' 看这个完成度,这个月内真能完全公开给所有人用么? |
32
yeyeye 2015-11-08 02:40:56 +08:00
@alect 他的补丁没打全, XP 打满补丁的支持 SNI (具体没查出来是哪个补丁开始支持的,请不要再谣言 XP 不支持 SNI 了)
|
34
yeyeye 2015-11-09 10:49:37 +08:00
@ghw 哥们 我真的不知道你们坚持 XP 不支持 SNI 的自信从哪来的(对不起我实在不愿意用这么的口气,但是你们有点坚持得过头了,而在 V2EX 已经遇到 N 多次如此坚持过头的事情了[我是说其他事情])
V2EX 已经有实践贴了,但是根本就没几个人留意,看到这个帖子之后我马上做了实验,事实证明确实是真实的。 《实践是检验真理的唯一标准—— Windows XP 支持 SNI ,即使是 Internet Explorer 6 》 https://www.v2ex.com/t/157322 |
35
anyforever 2015-12-08 15:31:52 +08:00
搞半天没装上, python 总是报错。。。 2.6 版本。升级到 3 版本, yum 又报错,把它改成 2.6 版解析之后,其它文件又有报错的。。。这回折腾大发了。。
|
36
tms OP @anyforever yum 在 python3 下面报错,只需要改一下 yum 就好了,目前 lets encrypt 只支持 python3
|
39
phrnet 2016-10-18 10:36:13 +08:00
|
40
tms OP @phrnet https://www.v2ex.com/t/155835 下半部分是之前搞的一个东西。上半部分左边 PV 就是单纯用 redis 统计的。右边 mysql 统计是做 binlog 解析的时候顺便统计了一下。
|
41
2ez4Kaboom 2018-03-05 11:05:23 +08:00
问下为你的.im 域名可以使用三级域名?.im 域名不是不支持三级域名吗
|
42
tms OP @2ez4Kaboom #41 支持的啊。我是直接用二级的 NS 记录搞的
|
43
2ez4Kaboom 2018-03-05 21:27:47 +08:00
|
44
tms OP |