V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
azev
V2EX  ›  SSL

构建 https 网站 申请证书的几个问题

  •  
  •   azev · 2018-07-03 16:23:06 +08:00 · 2653 次点击
    这是一个创建于 2336 天前的主题,其中的信息可能已经有所发展或是发生改变。
    目前是打算用 Let's Encrypt 借助 acme
    有几个问题
    1.申请证书跟服务器 ip 有关系吗?能不能在 A 服务器申请证书,然后在 B 服务器使用?

    2.通过不同途径为同一个域名申请证书 会不会冲突?
    (比如腾讯云官方网站里就能申请证书,如果我自己又从 Let's Encrypt 申请证书)

    3.泛域名和具体域名之间会不会冲突?
    比如为 aaa.com,*.aaa.com 还有 img.aaa.com 申请证书 怎么申请比较好?

    4.在 linux 服务器上通过 Let's Encrypt 申请的证书(cer,ca)怎么转成 iis 识别的 pfx 证书?
    10 条回复    2018-07-04 09:53:19 +08:00
    34C
        1
    34C  
       2018-07-03 16:42:23 +08:00   ❤️ 1
    1. 可以;
    2. 不会;
    3. 不会;
    4. 搜索 pem 转 pfx 就知道了,有 openssl 命令的,也有在线转换的;
    dfly0603
        2
    dfly0603  
       2018-07-03 16:53:45 +08:00 via Android
    3.申请 aaa.com,*.aaa.com 就好了。
    不过我也看到过申请 www.aaa.com/aaa.com/*.aaa.com 和只有*.aaa.com 的奇葩网站。
    ioriwong
        3
    ioriwong  
       2018-07-03 16:54:05 +08:00 via iPhone
    @34C 老大,LE 的证书,解析到 IP1 在 IP1 上申请,然后解析到 IP2 并拷贝证书到 IP2 使用,IP1 上还能自动续期并将续期后的证书拷贝走使用吗?谢谢
    34C
        4
    34C  
       2018-07-03 17:17:04 +08:00
    @ioriwong

    不知道你的 LE 是申请时怎么验证的,如果是文件验证,那肯定不能在 IP 1 上续期了,因为你已经把域名指向到 IP 2 去了。

    如果你是要在不同 IP 上部署证书的话,建议到 freessl.org 申请 TrustAsia 免费一年的那种吧,省得三个月拷一次
    RiESA
        5
    RiESA  
       2018-07-03 17:22:18 +08:00
    搭车问一下,我证书到期了直接申请新的替换上去就可以了吗?
    还有一个问题就是,我如果想撤销证书,恢复 http,那么怎么做,用户访问网站才不会提示没有证书
    RiESA
        6
    RiESA  
       2018-07-03 17:24:12 +08:00
    对问题 1 补充一下,比如我一开始的证书是申请的亚洲诚信的,到期的时候申请了 LE 的替换,这样会出现问题吗?
    azev
        7
    azev  
    OP
       2018-07-03 17:50:56 +08:00
    @34C 多谢

    问题 2 里
    两个证书都是有效的? 均在有效期内可以随便换着用?

    问题 3 里
    这种情况 是不是只需为 *.aaa.com 申请证书就可以了?
    ysc3839
        8
    ysc3839  
       2018-07-03 18:50:20 +08:00 via Android
    @RiESA #5 如果要换成 HTTP 的话,那不能设置 HSTS,HTTP 也不要设置 301 跳转 HTTPS,设置 302 跳转应该可以。
    KuoYu
        9
    KuoYu  
       2018-07-03 19:27:03 +08:00
    没有想到这么巧合,前几天老大才喊我做这个事情,今天就看见了这个问题。

    1.没有关系,以 ACME.sh 申请的时候会在本地生成证书文件,你可以在 B 上用,但是考虑到 ACME.sh 会自动续期,需要 A 服务器下的文件记录,最好还是在一个服务器上用。

    2.不会冲突,以我的例子,我新注册域名后送了一个证书,但是我还是用上了其他证书。交换用只需要把 Nginx 里的证书路径改变即可。

    3.既然都支持泛域名了,为什么还要申请多个呢?

    4.我的博客里面有具体的命令就不多说了。

    博客地址: https://blog.golibary.com/2018/07/03/automatic-SSL-CERT-request/
    azev
        10
    azev  
    OP
       2018-07-04 09:53:19 +08:00
    @KuoYu

    @34C

    关于第三个问题 我觉得应该是这样申请证书 对不对?
    acme.sh ..... -d aaa.com -d *.aaa.com
    貌似只写泛域名的话 是不是不行?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   914 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 21:25 · PVG 05:25 · LAX 13:25 · JFK 16:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.