letsencrypt.sh

2016-02-06 19:47:34 +08:00
 Livid

用 bash + openssl 实现的 Let's Encrypt 客户端,支持 dns-01 验证:

https://github.com/lukas2511/letsencrypt.sh

5679 次点击
所在节点    SSL
18 条回复
ivmm
2016-02-06 19:49:43 +08:00
支持 ecc 的样子,不过不适宜用于生产
kiritoalex
2016-02-06 20:02:14 +08:00
https://github.com/xdtianyu/scripts/tree/master/lets-encrypt 该脚本支持 cloudxns ,至于支持 CloudFlare 和 DNSpod 的可以在 V2EX 上用搜索找到
Return2legacy
2016-02-06 21:05:58 +08:00
这个有点麻烦,还要写那么多配置。和官方的没什么区别了。
neilp
2016-02-06 23:00:28 +08:00
https://v2ex.com/t/254533#reply8

我已经支持了 dnspod 的 api 了. cloudxns 马上就来.
lightening
2016-02-06 23:00:59 +08:00
周末我尽量写一篇 blog 来介绍下我的 https://github.com/SteveLTN/https-portal 。这个自动化程度高一点,不过设计思想完全不同。
DesignerSkyline
2016-02-07 18:11:42 +08:00
@neilp 没有找到 revoke 证书的选项啊
DesignerSkyline
2016-02-07 18:17:13 +08:00
@neilp 除了不能吊销证书,还有一个问题,找不到生成.pem 的选项,只能生成 cer
neilp
2016-02-07 18:37:03 +08:00
@DesignerSkyline

```
pem == cer
```

直接重命名
neilp
2016-02-07 18:38:16 +08:00
@DesignerSkyline

revoke 正在做, 但是最近时间比较紧. 你可以看到有个 revoke 的 branch. 现在还有 bug 不能工作.
DesignerSkyline
2016-02-07 18:44:20 +08:00
@neilp 过年时间还很紧吗?哈哈
neilp
2016-02-07 18:46:07 +08:00
@DesignerSkyline

是啊,哈哈, 谁规定的程序员就过年一定要宅在家呢.

接下来另一个 feature 是要支持 ECDSA 证书. 这个优先级比 revoke 要高.

其实 revoke 的作用真的不大.
DesignerSkyline
2016-02-07 22:56:59 +08:00
@neilp 我现在发现了一个问题

我使用这个 le.sh 通过 CloudFlare DNS challenge 签发了 storage.xxx.com 的证书,然后我再使用 le.sh 客户端,想 Renew 一下我另外两个 xxx.com 的子域名的证书(这另外两个子域名证书都是用的官方的 Let's Encrypt 签发工具签发的。)但是会提示 blog.xxx.com:Verify error:Invalid response from http://blog.xxx.com/.well-known/acme-challenge/xxxxxxxxxxxxx [104.x.x.x]: 404
neilp
2016-02-07 23:07:40 +08:00
@DesignerSkyline

renew 只能 renew 自己生成的证书, 不能 renew 别人生成的.

所以, 你可以直接重新生成一个 blog.xxx.com 的证书.

即使是对于官方客户端而言, renew 实际上就是重新生成.
DesignerSkyline
2016-02-07 23:34:05 +08:00
@neilp 但是我返回去用 Let's Encrypt 官方的工具想 renew 一下自己 VPS 上 blog.xxx.comwww.xxx.com 的证书,却发现

Failed authorization procedure. blog.xxx.com (tls-sni-01): urn:acme:error:tls :: The server experienced a
TLS error during domain verification :: Failed to connect to host for DVSNI challenge, www.xxx.com (tls-
sni-01): urn:acme:error:tls :: The server experienced a TLS error during domain verification :: Failed to connec
t to host for DVSNI challenge

感觉好像是服务器把原先 issue 的证书的 challenge 通道也一并改成 DNS-01 challenge 模式了,请问这样怎么解决呢?
neilp
2016-02-08 08:46:35 +08:00
@DesignerSkyline 没有所谓的 什么通道的概念. 可能有缓存. 你多试几次.
DesignerSkyline
2016-02-08 13:51:51 +08:00
@neilp 你好,还有个问题,就是我发现通过 DNS-01 challenge 生成的文件里没有证书链,只有 ca.cer , xxx.com.conf , xxx.com.csr , xxx.com.cer , xxx.com.csr , xxx.com.key, 类似于 fullchain.pem 的证书链文件并不存在,求教如何解决这个问题呢?
neilp
2016-02-08 14:02:49 +08:00
@DesignerSkyline

所谓的证书链: fullchain.pem = xxx.com.cer + ca.cer

直接把两个文件加在一起.
DesignerSkyline
2016-02-08 14:04:03 +08:00
@neilp 好的,非常感谢您的回复!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/255676

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX