试了试用 Let's Encrypt 签了一张证书,真的有前途?

2015-11-05 15:15:13 +08:00
 tms

上个月就收到了官方的内测邮件,今天终于有时间折腾下。结果搞了两个小时才签了一个证书出来。不但流程各种复杂,软件还 bug 一堆。要服务器做验证不说,还得占用 80 端口,验证的时候要我关掉占用 80 的服务,它开一个 SimpleHTTPServer 来搞验证。这一般生产用的域名谁敢这么折腾。还是我姿势不对,有更简单的办法。
而且有效期只有三个月。到时候还得重新签。又得折腾一次。
在目前单域名付费证书这么便宜的情况下, Let's Encrypt 真的有竞争力么。
也可能只是目前内测存在的 bug 比较多。总之希望越变越好啦,至少验证不要搞这么麻烦。。。

10558 次点击
所在节点    SSL
44 条回复
oott123
2015-11-05 15:18:59 +08:00
三个月为了安全呗。
不过关 80 略神奇,不应该提供一些别的验证方法?
Laforet
2015-11-05 15:20:02 +08:00
内测证书时间短,正式开始服务之后应该还是一次签一年的。

自动域名验证目前只整合了 apache ,用其他服务端确实有点难受,希望以后可以解决。如果软件做好了,还是比现在的生成私钥--->签署 CSR--->CSR 送审--->获得证书--->部署证书这一系列过程方便的。
phoenixlzx
2015-11-05 15:20:58 +08:00
楼主域名不错...
letsencrypt 影响了一大票商业 CA 的利益,能做到这一步已经很不容易了...
tms
2015-11-05 15:20:58 +08:00
@oott123 总之官方提供的工具很坑。
tms
2015-11-05 15:22:36 +08:00
@phoenixlzx 名字缩写 2333333 。我反而觉得目前的体验来看短期之内它影响不了商业 CA 的利益。坐等进化
phoenixlzx
2015-11-05 15:24:54 +08:00
@tms 你要看是谁在做
一堆搞研究的人懂生产吗?
体验什么的基本上是被骂出来的,他们能坚持下去的话后面会慢慢好起来的
想靠谱的话还是买商业证书吧... 短时间内这货估计还不如 cacert
tms
2015-11-05 15:33:08 +08:00
@Laforet 我用 nginx 只能关掉开个 SimpleHTTPServer 了,不过看官方文档还是有打算要做其他服务端的插件的。还有我验证的时候部署网站的服务器和我开验证软件的服务器不是一台。我把域名指到验证用的服务器了。也生效了。用手动模式-a -manual 也通过了前面的。就是到验证那一步的时候还是要去我原先的服务器上验证一次。这是怎么回事。好像是本机发起一次验证,他们 api 那边还要发起一次验证。远程那次就去我之前的 ip 了。是 api 那台服务器的 dns 更新略慢还是就是不能改 ip 的机制。
jason14
2015-11-05 15:41:14 +08:00
一直在看这货到底打的什么牌 我也是卖商业 SSL 的...>>
Cloudee
2015-11-05 15:57:21 +08:00
可以配置把验证用的文件放到一个目录里,然后 web server 的 80 端口的 server 配上对应的 location 就成,比如 /etc/letsencrypt/cli.ini 中配置
authenticator = webroot
webroot-path = /srv/http/letsencrypt

nginx 的 80 端口的服务中配置上
location /.well-known {
alias /srv/http/letsencrypt/.well-known;
}
这样更新证书就不用停原来的 80 端口了
dndx
2015-11-05 15:59:26 +08:00
不一定需要占 80 端口,如果 authenticator 使用 manual 会要求你手动创建一个 json 文件放在 Web 服务器上验证。
tms
2015-11-05 16:00:57 +08:00
@Cloudee 机智。
tms
2015-11-05 16:01:41 +08:00
@dndx 我最后也用是手动模式。每验证一个域名就要创建一个文件放在 web 目录里,还要强制返回成 text 类型
kozora
2015-11-05 16:37:47 +08:00
遇到这个错误= = Error: serverInternal :: The server experienced an internal error :: Error creating new authz
dorentus
2015-11-05 16:43:06 +08:00

我是没几分钟就搞定了……

这种验证方式之后可以做到支持自动化,到时候只要有一个有经验的人把它配置好,就不用太操心了。
tms
2015-11-05 16:45:25 +08:00
@kozora 好像是 DNS 查询超时导致的。
tms
2015-11-05 16:47:54 +08:00
@dorentus 如果刚好环境合适,没问题的情况下应该是挺快的。我是 python 版本、域名解析、端口绑定之类的各种小问题。而且官方的报错和文档太少了。花了很多时间在这上面。还是感觉这东西的生成对服务器依赖程度太高。
kozora
2015-11-05 16:48:43 +08:00
@tms 查询域名的吗 是在匹配邮箱和域名一样还是?
tms
2015-11-05 16:50:39 +08:00
@kozora 好像是官方 api 服务器访问你域名去验证的时候 DNS 查询超时了。
GPU
2015-11-05 17:23:44 +08:00
現在還可以申請嗎?
tms
2015-11-05 17:36:34 +08:00
@GPU 不清楚 你可以试试 https://letsencrypt.org/2015/09/14/our-first-cert.html 这里面的链接。要翻墙

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/233860

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX