V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
q1angch0u
V2EX  ›  分享发现

发现了一个可以免费签 IP 地址 SSL 证书的网站

  •  
  •   q1angch0u · 2022-04-19 17:09:07 +08:00 · 13824 次点击
    这是一个创建于 953 天前的主题,其中的信息可能已经有所发展或是发生改变。

    分享给有需要的旁友~

    https://zerossl.com/

    第 1 条附言  ·  2022-04-19 18:53:30 +08:00
    IP 证书,IP 证书,IP 证书哈。常规免费的可以签域名证书、域名泛解析证书,这个可以签 IP 的证书~
    第 2 条附言  ·  2022-04-20 01:03:58 +08:00
    哥哥们,我就是分享一个大家可能 /或许不太好发现的一个申请 IP 地址的方法,为什么逐渐变成了在怼我的各种操作姿势不对的帖?希望大家能接受别人有和自己不一样观点这个事实,谢谢,万分感谢。
    77 条回复    2024-09-14 14:49:43 +08:00
    q1angch0u
        1
    q1angch0u  
    OP
       2022-04-19 17:21:38 +08:00
    辛辛苦苦找了一天……GlobalSign 签 IP 证书需要 3000+/年,这个免费,不过需要每三个月重新申请,赶脚捡到宝了哈哈哈哈
    tulongtou
        2
    tulongtou  
       2022-04-19 17:26:55 +08:00 via iPhone   ❤️ 1
    给 IP ssl 证书意义是啥啊,和域名比起来哪里好呢?
    yaott2020
        3
    yaott2020  
       2022-04-19 17:28:20 +08:00 via Android   ❤️ 1
    @tulongtou 你愿意输入 one.one.one.one 还是 1.1.1.1
    tulongtou
        4
    tulongtou  
       2022-04-19 17:29:31 +08:00 via iPhone   ❤️ 1
    @yaott2020 但是我没有 1.1.1.1 的 IP 啊,反而有 xxxx.io 这种域名,我的域名比 IP 还短。
    bootvue
        5
    bootvue  
       2022-04-19 17:32:09 +08:00
    zerossl 确实不错

    acme.sh 默认 CA N 年前就从 Lets' Encrypt 转到了 ZeroSSL
    misaka19000
        6
    misaka19000  
       2022-04-19 17:32:16 +08:00
    不错,支持!
    q1angch0u
        7
    q1angch0u  
    OP
       2022-04-19 17:35:13 +08:00
    @tulongtou
    @bootvue
    需求不一样哈,比如我的域名套了 cf ,是为了不想在类似 censys 中看到我的域名和真实 IP 的 bind 关系,但是我又需要搞 sslvpn ,这时候 IP 证书就有用武之地了~
    falcon05
        8
    falcon05  
       2022-04-19 17:36:34 +08:00
    acme.sh 脚本能不能用?
    falcon05
        9
    falcon05  
       2022-04-19 17:37:51 +08:00
    我去,不行的
    Create new order error. Le_OrderFinalize not found. {"type":"urn:ietf:params:acme:error:unsupportedIdentifier","status":400,"detail":"IPv4 and IPv6 identifier types are not yet supported"}
    q1angch0u
        10
    q1angch0u  
    OP
       2022-04-19 17:43:47 +08:00
    @falcon05 是的哈~zerossl 官网也只能手动签,不能调 api
    JensenQian
        11
    JensenQian  
       2022-04-19 17:45:21 +08:00
    网页申请,3 个月有效期,一个账户只有 3 个证书
    vazo
        12
    vazo  
       2022-04-19 18:29:47 +08:00
    @q1angch0u 我这边玉米验证过了以后,一直在签发证书界面,op 遇到过这情况么?
    tinkerer
        13
    tinkerer  
       2022-04-19 18:39:19 +08:00
    @tulongtou 可以绕过 dns 污染
    q1angch0u
        14
    q1angch0u  
    OP
       2022-04-19 18:39:38 +08:00 via iPhone
    @vazo 我签的是 ip 哈…用的文件验证,一分钟左右的样子就发证书了~
    awesomes
        15
    awesomes  
       2022-04-19 18:46:47 +08:00
    对比 Lets' Encrypt 有啥优势呢
    q1angch0u
        16
    q1angch0u  
    OP
       2022-04-19 18:47:49 +08:00 via iPhone
    @awesomes 这个可以签 IP 的 ssl 证书哈….签域名我也用 let’s encrypt 哈哈哈
    tinkerer
        17
    tinkerer  
       2022-04-19 18:49:55 +08:00
    @awesomes 楼主说的是 IP 证书,lets encrypt 是不提供的。
    tinkerer
        18
    tinkerer  
       2022-04-19 18:50:29 +08:00
    @q1angch0u 插嘴失败,sorry.
    googlefans
        19
    googlefans  
       2022-04-19 18:50:50 +08:00
    你买哪个服务器 里面不都有免费的证书服务吗
    q1angch0u
        20
    q1angch0u  
    OP
       2022-04-19 18:51:25 +08:00 via iPhone
    @googlefans 那些都是域名的 ssl 证书哈…这个是 IP 的
    vazo
        21
    vazo  
       2022-04-19 18:54:27 +08:00
    @q1angch0u #20 吃完饭回来看了一下,签发了,签发用时 30 分钟左右.
    q1angch0u
        22
    q1angch0u  
    OP
       2022-04-19 18:56:04 +08:00 via iPhone
    @tinkerer 哈哈哈,没事,下次我回复慢点~
    unnamedhao
        23
    unnamedhao  
       2022-04-19 19:09:19 +08:00 via iPhone
    感觉 zerossl 的 ocsp 在国内比较慢
    q1angch0u
        24
    q1angch0u  
    OP
       2022-04-19 19:13:19 +08:00 via iPhone
    @unnamedhao 要什么自行车…
    superchijinpeng
        25
    superchijinpeng  
       2022-04-19 19:29:54 +08:00
    1 分钟搞定
    oneisall8955
        26
    oneisall8955  
       2022-04-19 19:33:32 +08:00 via Android
    听我说,谢谢你
    herozzm
        27
    herozzm  
       2022-04-19 19:40:19 +08:00
    @tulongtou 比如你要用梯子,必须 https 加密,你还得为梯子单独申请一个域名?
    liubaicai
        28
    liubaicai  
       2022-04-19 19:40:29 +08:00
    听我说,
    alswl
        29
    alswl  
       2022-04-19 19:53:14 +08:00
    IP 的好处是可以防劫持,客户端用 HTTP DNS 拿 IP 。
    q1angch0u
        30
    q1angch0u  
    OP
       2022-04-19 20:40:31 +08:00 via iPhone
    @oneisall8955
    @liubaicai
    听我说,谢谢你,感谢有你,温暖了四季~
    pcbl
        31
    pcbl  
       2022-04-19 21:17:55 +08:00
    @q1angch0u 如果只是想防止 cf 后面的源站 IP 暴露的话有更一劳永逸异一些的办法
    1. 自签一个 10 年期或者更长的证书,添加到默认站点上就可以

    2. 如果 Nginx 版本>1.19.4 可以使用 ssl_reject_handshake on;参数直接拒绝握手阶段的证书泄露问题
    上面两种方式怎么应对非针对性的广泛扫描,如果被盯上了的话,还要把 cf 的 IP 加入到防火墙白名单才能防止对方带着域名去“碰撞”IP
    ZE3kr
        32
    ZE3kr  
       2022-04-19 21:42:21 +08:00 via iPhone
    @pcbl 直接用 ufw 或者硬件防火墙阻止一切除 Cloudflare IP 的流量就行了。ssh 用跳板机
    ZeroClover
        33
    ZeroClover  
       2022-04-19 21:46:27 +08:00
    只是防止套 CF 的源站暴露为什么要舍近求远而不用更直接更官方的方案?

    https://www.cloudflare.com/products/tunnel/

    不开放任何入站端口谁能扫到你?
    tulongtou
        34
    tulongtou  
       2022-04-19 22:42:36 +08:00
    @herozzm 你说的好像有道理。
    不过即使不搭梯子,我也有好几个域名,你这说法在我这又不成立了。
    catteroLo
        35
    catteroLo  
       2022-04-19 23:02:18 +08:00
    这种 IP 证书可以绕过国内备案吗?
    f0rger
        36
    f0rger  
       2022-04-20 00:10:03 +08:00 via iPhone
    不能签局域网吧,想给局域网 esxi 签一个
    kylix
        37
    kylix  
       2022-04-20 00:30:54 +08:00
    费了点功夫,终于成功申请了一个,感谢 OP !
    q1angch0u
        38
    q1angch0u  
    OP
       2022-04-20 00:54:51 +08:00 via iPhone
    @ZeroClover 我不想填付款方式;)
    q1angch0u
        39
    q1angch0u  
    OP
       2022-04-20 00:58:48 +08:00 via iPhone
    @pcbl ip 套 ssl 证书是因为我是想用 ip 拨 sslvpn ,不想用域名拨,因为域名会有解析记录和我的 IP 绑定在一起;)
    @ZE3kr 我没钱买硬件防火墙&&没有额外资源搭堡垒机
    @ZeroClover ip 套 ssl 证书是因为我是想用 ip 拨 sslvpn ,不想用域名拨,因为域名会有解析记录和我的 IP 绑定在一起;)
    q1angch0u
        40
    q1angch0u  
    OP
       2022-04-20 01:04:17 +08:00 via iPhone
    @kylix 客气~
    q1angch0u
        41
    q1angch0u  
    OP
       2022-04-20 01:04:59 +08:00 via iPhone
    @f0rger 不行的哈
    q1angch0u
        42
    q1angch0u  
    OP
       2022-04-20 01:12:26 +08:00 via iPhone
    @ZeroClover 而且我有公网 IP ,为什么还要在本地跑 agent 来打洞?
    ZeroClover
        43
    ZeroClover  
       2022-04-20 02:17:58 +08:00
    @q1angch0u 我没有在回复你,只是忘记 Mention 了

    再说这个操作是为了防止扫描的,和你有公网 IP 有什么关系?
    harmless
        44
    harmless  
       2022-04-20 02:28:12 +08:00 via iPhone
    正好有需求,感谢
    q1angch0u
        45
    q1angch0u  
    OP
       2022-04-20 02:32:01 +08:00 via iPhone
    @ZeroClover 防扫描你放在我说 IP 申请证书的帖子里说干嘛?
    ZeroClover
        46
    ZeroClover  
       2022-04-20 02:39:05 +08:00
    @q1angch0u 因为我要回复的是 @pcbl @ZE3kr

    你最好把你自己附言里面的话送给你自己,不要一天到晚怼天怼地的
    ahu
        47
    ahu  
       2022-04-20 09:14:12 +08:00
    @q1angch0u 太棒了!我刚好有一个靓 IP ,早就琢磨着是不是可以跟 1.1.1.1 一样配个 SSL ,这下子圆满了!谢谢!
    q1angch0u
        48
    q1angch0u  
    OP
       2022-04-20 09:14:43 +08:00 via iPhone
    @ahu 客气~
    nyakoy
        49
    nyakoy  
       2022-04-20 09:32:14 +08:00
    说实话,一顺看下来,没觉得谁在怼 op ,大家只是各抒己见或者发表疑问。
    q1angch0u
        50
    q1angch0u  
    OP
       2022-04-20 09:58:22 +08:00 via iPhone
    @nyakoy 哈哈哈,可能 op 比较玻璃心吧~
    777777
        51
    777777  
       2022-04-20 10:07:54 +08:00
    LokiSharp
        52
    LokiSharp  
       2022-04-20 10:51:33 +08:00
    局域网不能签啊= =
    ColinZeb
        53
    ColinZeb  
       2022-04-20 13:41:44 +08:00
    @LokiSharp 局域网除了自建 ca 没人能给你签
    newmlp
        54
    newmlp  
       2022-04-20 13:47:32 +08:00
    @tinkerer 那直接自签名证书加客户端证书固定就行了
    robinchina
        55
    robinchina  
       2022-04-20 15:01:14 +08:00
    @tulongtou 你这个域名我都不敢在公司打开,怕出现一些尴尬的画面····手动滑稽
    hikarufighter32
        56
    hikarufighter32  
       2022-04-20 15:31:59 +08:00
    加了几天班,眼花了,看成了免费签证,心想那个国家有这种好事,激动的点了进来
    q1angch0u
        57
    q1angch0u  
    OP
       2022-04-20 16:32:46 +08:00 via iPhone
    @hikarufighter32 老哥要润?[手动狗头]
    dudu2017
        58
    dudu2017  
       2022-04-20 18:34:09 +08:00 via iPhone
    感谢分享!
    ipv6 有没有办法呢?这 zerossl 尝试了只能 ipv4 ,不支持 ipv6 的
    Cassius
        59
    Cassius  
       2022-04-21 06:42:45 +08:00
    啊居然支持 IP 了, 但是电信封了 http 没法过验证了 .
    IP 地址也没法加 cname..
    看来我的电信公网固定 IP 还是没法签发
    q1angch0u
        60
    q1angch0u  
    OP
       2022-04-21 08:15:05 +08:00 via iPhone
    @Cassius 同电信固定 IP ,N 年前找了省公司的市场部做个人备案开了 80/443~
    tinkerer
        61
    tinkerer  
       2022-04-22 01:15:10 +08:00
    @newmlp 我想让别人在浏览器直接用 https://12.34.56.78 访问我的服务的话,IP 证书就很合适,又不用担心因域名 dns 解析异常导致不可访问。
    楼主只是分享一个免费 IP 证书服务,不是在探讨 IP 证书部署的可行方案。
    buxiaozisun
        62
    buxiaozisun  
       2022-04-22 02:49:11 +08:00 via Android   ❤️ 1
    @dudu2017 ipv6 也是可以的 但是不能带省略
    可以填 2001:0000:0000:0000:0000:0000:0000:0000
    不能填 2001::1
    buxiaozisun
        63
    buxiaozisun  
       2022-04-22 02:53:31 +08:00 via Android
    @falcon05 不支持 acme 但是可以用它自己的 rest api 签
    q1angch0u
        64
    q1angch0u  
    OP
       2022-04-22 08:22:56 +08:00 via iPhone
    @buxiaozisun 免费的也可以用 api 吗?
    buxiaozisun
        65
    buxiaozisun  
       2022-04-22 09:13:25 +08:00 via Android   ❤️ 1
    @q1angch0u 恩 我改了个脚本 技术不行 随便看看😆
    https://raw.githubusercontent.com/22p/zerosslipcert/main/restapi.sh
    newmlp
        66
    newmlp  
       2022-04-22 09:30:36 +08:00
    @tinkerer 直接 ip 访问不需要 dns 解析
    q1angch0u
        67
    q1angch0u  
    OP
       2022-04-22 09:57:55 +08:00
    @buxiaozisun 很棒,我明天抽空撸个 golang 的哈哈哈~
    tinkerer
        68
    tinkerer  
       2022-04-22 11:59:48 +08:00
    @newmlp 是我汉语水平不行,还是...
    tinkerer
        69
    tinkerer  
       2022-04-22 12:00:27 +08:00
    @q1angch0u 我正在撸 golang 版... 又冲突了哥
    q1angch0u
        70
    q1angch0u  
    OP
       2022-04-22 12:46:15 +08:00 via iPhone
    @tinkerer 你撸~撸完我学习学习哈哈哈
    falcon05
        71
    falcon05  
       2022-04-22 13:14:51 +08:00
    @buxiaozisun #65 感谢,已用上
    dudu2017
        72
    dudu2017  
       2022-04-22 19:07:56 +08:00 via iPhone
    @buxiaozisun 确实是的👍
    tinkerer
        73
    tinkerer  
       2022-04-23 06:37:34 +08:00
    @q1angch0u golang 工具, https://www.v2ex.com/t/848701 , 欢迎 github 发 PR 。
    billzhuang
        74
    billzhuang  
       2022-05-16 15:03:49 +08:00
    nginx SNI 不支持 ip 做 hostname ,大家咋解决这个问题的?
    xylv2e
        75
    xylv2e  
       2023-03-02 23:35:16 +08:00   ❤️ 1
    可惜 ZeroSSL 已经限制免费用户只能签发 3 个证书了,过期的证书也包括在内,就是说不再免费了。
    ack66
        76
    ack66  
       345 天前
    限制免费用户 3 个证书了,现在用不了了,还有啥替代网站
    onikage
        77
    onikage  
       74 天前
    自签一个,然后自己把 ca 安装到自己能用的设备上,全免费,一年一签。不知道你是啥场景,我这反而是不希望别人能识别出我的证书。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1015 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 21:24 · PVG 05:24 · LAX 13:24 · JFK 16:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.