如何在双机热备上使用 let's encrypt 证书?

2017-08-02 22:12:41 +08:00
 s609926202

使用了 AWS 的 ELB 双机热备架构,同时鉴于赛门铁克不久就要被干掉的情况,决定使用 letsencrypt 证书,设置定时任务,每两个月更新一次,兴冲冲的下载 certbot,并且设置了定时任务,才发现:

1:设置的方式 webroot 方法,也就是说在网站根目录下写一个.xxx 文件,每次访问时查看这个文件是否正确。但是问题来了,另一台服务器上的项目根目录下并没有这个文件啊,怎么办?

2:或者说 letsencrypt 还有其他的认证方式吗?

3:各位给支支招。。。

3780 次点击
所在节点    问与答
23 条回复
Tink
2017-08-03 09:14:29 +08:00
为啥不在一台机器上自动更新完之后同步到另一台?
ysc3839
2017-08-03 15:16:21 +08:00
@s609926202 是要同步,不确定生成两个是否会吊销旧的那个。
msg7086
2017-08-03 15:56:52 +08:00
@s609926202 没看懂你在说什么。你现在有两台实体机和一台 ELB,其中一台实体机做脚本,另一台实体机反代到这一台,为什么还要再买一台?我看得好懵啊。

@ysc3839 当然不会。你想想嘛,第一,重复申请证书是很普通的事情,一个网站很多前端的情况很普遍,而私钥原则上是不应该离开服务器本机的,也就是说不支持重复申请证书的话客户就必须承担私钥过网络的风险。第二,吊销证书成本非常高,签署成本只要签署就行了,而吊销必须要维护吊销列表,而且所有的客户端都会去检查吊销列表,你想想这个列表得多大,客户每次更新吊销列表得下载多少数据。

哦对了再说一次,一个账号对一个域名的认证,在一段时间内只需要一次。比如 a 域名你今天验证过了,那下个月你用同一个账号签 a 域名的证书是不需要再验证的。签 5 次 10 次不同的证书,只要域名相同就不需要再验证。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/379952

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX