构建 https 网站 申请证书的几个问题

2018-07-03 16:23:06 +08:00
 azev
目前是打算用 Let's Encrypt 借助 acme
有几个问题
1.申请证书跟服务器 ip 有关系吗?能不能在 A 服务器申请证书,然后在 B 服务器使用?

2.通过不同途径为同一个域名申请证书 会不会冲突?
(比如腾讯云官方网站里就能申请证书,如果我自己又从 Let's Encrypt 申请证书)

3.泛域名和具体域名之间会不会冲突?
比如为 aaa.com,*.aaa.com 还有 img.aaa.com 申请证书 怎么申请比较好?

4.在 linux 服务器上通过 Let's Encrypt 申请的证书(cer,ca)怎么转成 iis 识别的 pfx 证书?
2650 次点击
所在节点    SSL
10 条回复
34C
2018-07-03 16:42:23 +08:00
1. 可以;
2. 不会;
3. 不会;
4. 搜索 pem 转 pfx 就知道了,有 openssl 命令的,也有在线转换的;
dfly0603
2018-07-03 16:53:45 +08:00
3.申请 aaa.com,*.aaa.com 就好了。
不过我也看到过申请 www.aaa.com/aaa.com/*.aaa.com 和只有*.aaa.com 的奇葩网站。
ioriwong
2018-07-03 16:54:05 +08:00
@34C 老大,LE 的证书,解析到 IP1 在 IP1 上申请,然后解析到 IP2 并拷贝证书到 IP2 使用,IP1 上还能自动续期并将续期后的证书拷贝走使用吗?谢谢
34C
2018-07-03 17:17:04 +08:00
@ioriwong

不知道你的 LE 是申请时怎么验证的,如果是文件验证,那肯定不能在 IP 1 上续期了,因为你已经把域名指向到 IP 2 去了。

如果你是要在不同 IP 上部署证书的话,建议到 freessl.org 申请 TrustAsia 免费一年的那种吧,省得三个月拷一次
RiESA
2018-07-03 17:22:18 +08:00
搭车问一下,我证书到期了直接申请新的替换上去就可以了吗?
还有一个问题就是,我如果想撤销证书,恢复 http,那么怎么做,用户访问网站才不会提示没有证书
RiESA
2018-07-03 17:24:12 +08:00
对问题 1 补充一下,比如我一开始的证书是申请的亚洲诚信的,到期的时候申请了 LE 的替换,这样会出现问题吗?
azev
2018-07-03 17:50:56 +08:00
@34C 多谢

问题 2 里
两个证书都是有效的? 均在有效期内可以随便换着用?

问题 3 里
这种情况 是不是只需为 *.aaa.com 申请证书就可以了?
ysc3839
2018-07-03 18:50:20 +08:00
@RiESA #5 如果要换成 HTTP 的话,那不能设置 HSTS,HTTP 也不要设置 301 跳转 HTTPS,设置 302 跳转应该可以。
KuoYu
2018-07-03 19:27:03 +08:00
没有想到这么巧合,前几天老大才喊我做这个事情,今天就看见了这个问题。

1.没有关系,以 ACME.sh 申请的时候会在本地生成证书文件,你可以在 B 上用,但是考虑到 ACME.sh 会自动续期,需要 A 服务器下的文件记录,最好还是在一个服务器上用。

2.不会冲突,以我的例子,我新注册域名后送了一个证书,但是我还是用上了其他证书。交换用只需要把 Nginx 里的证书路径改变即可。

3.既然都支持泛域名了,为什么还要申请多个呢?

4.我的博客里面有具体的命令就不多说了。

博客地址: https://blog.golibary.com/2018/07/03/automatic-SSL-CERT-request/
azev
2018-07-04 09:53:19 +08:00
@KuoYu

@34C

关于第三个问题 我觉得应该是这样申请证书 对不对?
acme.sh ..... -d aaa.com -d *.aaa.com
貌似只写泛域名的话 是不是不行?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/467820

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX