V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
iyaozhen
V2EX  ›  全球工单系统

谨慎升级 acme.sh,好像有点 bug,原来的域名默认 CA 也变成了 ZeroSSL

  •  1
     
  •   iyaozhen · 2021-06-27 22:47:42 +08:00 · 4362 次点击
    这是一个创建于 1245 天前的主题,其中的信息可能已经有所发展或是发生改变。
    已提 issue: https://github.com/acmesh-official/acme.sh/issues/3556#issuecomment-869171794

    官方有公告,https://github.com/acmesh-official/acme.sh/wiki/Change-default-CA-to-ZeroSSL 8 月 1 号,3.0 版本默认的 CA 会变成 ZeroSSL,但之前的不受影响。

    刚证书过期了,更新了下 acme.sh ,发现已经是 3.0 版本了,而且运行了一下,之前的配置被“污染”成 ZeroSSL 了。--server letsencrypt 也不行了,应该是个 bug

    删掉最后一行的 Le_API='https://acme.zerossl.com/v2/DV90' (之前配置应该没有这一行),再 acme.sh --set-default-ca --server letsencrypt
    14 条回复    2021-06-28 18:16:04 +08:00
    Yadomin
        1
    Yadomin  
       2021-06-27 23:06:15 +08:00
    这个 ZeroSSL 有什么问题吗
    iyaozhen
        2
    iyaozhen  
    OP
       2021-06-27 23:10:36 +08:00
    @Yadomin 这个本身没什么问题,只是这个需要先注册账号,变成这个后 acme.sh 会运行失败。

    ZeroSSL 至于为什么默认变成这个可以看官方解释。好像有个原因是 Let's Encrypt 要用自己的 CA 了,有很多旧设备有兼容问题,但 Let's Encrypt 有提供兼容方案。对于一般人来说,没啥区别(都要 90 天自动续期)。
    phy25
        3
    phy25  
       2021-06-27 23:14:26 +08:00 via Android
    > ZeroSSL 至于为什么默认变成这个可以看官方解释

    因为被买了,好事吧 https://twitter.com/neilpangxa/status/1222792801835872256
    eason1874
        4
    eason1874  
       2021-06-28 00:04:50 +08:00
    前段时间的升级添加了 8.8.8.8 作为 DNS,国内机器直接超时,得修改配置

    现在能用就不升级了
    ruixue
        5
    ruixue  
       2021-06-28 00:11:36 +08:00
    ZeroSSL 支持 IP 证书,但是用 acme.sh 貌似无法申请,不清楚是 ZeroSSL 的 api 不支持还是 acme.sh 不支持
    blueboyggh
        6
    blueboyggh  
       2021-06-28 00:16:18 +08:00 via Android
    一个之前用的一键脚本运行失败是不是也是因为这个?
    Tumblr
        7
    Tumblr  
       2021-06-28 00:25:51 +08:00
    我刚刚用 PowerShell 的模块 Posh-ACME 申请了个证书,Issuer 还是 Let's Encrypt 。
    Love4Taylor
        8
    Love4Taylor  
       2021-06-28 06:59:20 +08:00 via iPhone
    切换到 ZeroSSL 挺久了,觉得比 LE 好用。
    starcraft
        9
    starcraft  
       2021-06-28 08:42:37 +08:00
    碰到了,设置一下就弄好了。我搞得自动升级。
    zxp
        10
    zxp  
       2021-06-28 08:57:27 +08:00
    ZeroSSL 注册免费账号只能创建 3 个 90 天证书,不能创建多域名证书,不能创建通配符证书,那有什么用?

    https://i.loli.net/2021/06/28/Ttswo7WRjQIz1fp.png
    neilp
        11
    neilp  
       2021-06-28 09:31:48 +08:00   ❤️ 1
    @iyaozhen 不会添加这一行, 可能是你之前手误尝试过 zerossl, 或者是其他的原因. 但是 acme.sh 绝不会主动改这一行.

    @zxp ZeroSSL 支持无限量的 90 天证书, 支持所有 letsencrypt 的证书类型, 包括通配符, ECC. 而且一个好处是, Zerossl 的根具有更广泛的信任, 而且是全 ECC 链.
    你看的是 网站上直接购买的限制. ACME 端口没有限制.
    zxp
        12
    zxp  
       2021-06-28 11:26:03 +08:00
    @neilp #11 我也看到了,不过官网上的信息确实容易引起误解。
    iyaozhen
        13
    iyaozhen  
    OP
       2021-06-28 16:16:36 +08:00
    @neilp 我英文蹩脚。

    中文说下前因后果,我发现证书过期了,重新运行没有成功(具体报错忘了,大概是 dns 验证有点问题),猜测可能是 acme.sh 版本有点旧(看着是去年 5 月份),具体版本当时没看,然后升级后就出现这个问题了。

    猜测 anydrop.net.conf 之前可能没有 Le_API 这一行,然后默认 ca 是 ZeroSSL,运行的时候就自动加上了这一行。反向验证,我修复也是删了这一行,然后设置默认 ca 为 letsencrypt,再运行会自动加上 Le_API 为 letsencrypt 的一行。

    要是这样的话确实有点麻烦,感觉应该升级之前添加上这行配置。

    最后对于更换默认 CA,还是怀着善意的假设,ZeroSSL 可能更好。
    neilp
        14
    neilp  
       2021-06-28 18:16:04 +08:00   ❤️ 1
    @iyaozhen 的确可能是这个问题, 你之前的版本可能太旧了.

    我稍后会修复这个问题.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2657 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 05:02 · PVG 13:02 · LAX 21:02 · JFK 00:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.