[免费 SSL+自动续期] 发个福利!第一个大陆 OCSP 的自动续期证书机构!

2021-12-15 16:43:14 +08:00
 stevenhawking

发个福利!第一个大陆 OCSP 的自动续期证书机构!

如何使用

常见 ACME 客户端指定 server 参数为 https://acme.pki.plus/acme/directory 就可以

用爱发电,我们是专业的

测试

~$ acme.sh --issue -d 1.pki.plus -d 2.pki.plus -d \*.wildcard.pki.plus --dns dns_cf --dnssleep 3 --server https://acme.pki.plus/acme/directory -m my@email.com
[2021 年 12 月 15 日 星期三 15 时 41 分 11 秒 CST] Using CA: https://acme.pki.plus/acme/directory
[2021 年 12 月 15 日 星期三 15 时 41 分 11 秒 CST] Creating domain key
[2021 年 12 月 15 日 星期三 15 时 41 分 11 秒 CST] The domain key is here: /Users/my/.acme.sh/1.pki.plus/1.pki.plus.key
[2021 年 12 月 15 日 星期三 15 时 41 分 11 秒 CST] Multi domain='DNS:1.pki.plus,DNS:2.pki.plus,DNS:*.wildcard.pki.plus'
[2021 年 12 月 15 日 星期三 15 时 41 分 11 秒 CST] Getting domain auth token for each domain
[2021 年 12 月 15 日 星期三 15 时 41 分 32 秒 CST] Getting webroot for domain='1.pki.plus'
[2021 年 12 月 15 日 星期三 15 时 41 分 32 秒 CST] Getting webroot for domain='2.pki.plus'
[2021 年 12 月 15 日 星期三 15 时 41 分 32 秒 CST] Getting webroot for domain='*.wildcard.pki.plus'
[2021 年 12 月 15 日 星期三 15 时 41 分 32 秒 CST] Adding txt value: 95_O6t7yXmwDRCjaMN4pvEuEDkNTTGLhkEmXvHB4Fdk for domain: _acme-challenge.1.pki.plus
[2021 年 12 月 15 日 星期三 15 时 41 分 33 秒 CST] Adding record
[2021 年 12 月 15 日 星期三 15 时 41 分 33 秒 CST] The txt record is added: Success.
[2021 年 12 月 15 日 星期三 15 时 41 分 33 秒 CST] Adding txt value: DciaM0Yf2NZuFA2V0P9nH4hb0rUPn8a4ASoCPlEl8m4 for domain: _acme-challenge.2.pki.plus
[2021 年 12 月 15 日 星期三 15 时 41 分 34 秒 CST] Adding record
[2021 年 12 月 15 日 星期三 15 时 41 分 34 秒 CST] The txt record is added: Success.
[2021 年 12 月 15 日 星期三 15 时 41 分 34 秒 CST] Adding txt value: qKzvMFoysWeyq2tH1__y-xOdgc1bIG1X3x0h_IZB_oo for domain: _acme-challenge.wildcard.pki.plus
[2021 年 12 月 15 日 星期三 15 时 41 分 35 秒 CST] Adding record
[2021 年 12 月 15 日 星期三 15 时 41 分 35 秒 CST] The txt record is added: Success.
[2021 年 12 月 15 日 星期三 15 时 41 分 35 秒 CST] Sleep 3 seconds for the txt records to take effect
[2021 年 12 月 15 日 星期三 15 时 41 分 40 秒 CST] Verifying: 1.pki.plus
[2021 年 12 月 15 日 星期三 15 时 41 分 40 秒 CST] Success
[2021 年 12 月 15 日 星期三 15 时 41 分 40 秒 CST] Verifying: 2.pki.plus
[2021 年 12 月 15 日 星期三 15 时 41 分 41 秒 CST] Success
[2021 年 12 月 15 日 星期三 15 时 41 分 41 秒 CST] Verifying: *.wildcard.pki.plus
[2021 年 12 月 15 日 星期三 15 时 41 分 42 秒 CST] Success/span>
[2021 年 12 月 15 日 星期三 15 时 41 分 42 秒 CST] Removing DNS records.
[2021 年 12 月 15 日 星期三 15 时 41 分 42 秒 CST] Removing txt: 95_O6t7yXmwDRCjaMN4pvEuEDkNTTGLhkEmXvHB4Fdk for domain: _acme-challenge.1.pki.plus
[2021 年 12 月 15 日 星期三 15 时 41 分 43 秒 CST] Removed: Success
[2021 年 12 月 15 日 星期三 15 时 41 分 43 秒 CST] Removing txt: DciaM0Yf2NZuFA2V0P9nH4hb0rUPn8a4ASoCPlEl8m4 for domain: _acme-challenge.2.pki.plus
[2021 年 12 月 15 日 星期三 15 时 41 分 45 秒 CST] Removed: Success
[2021 年 12 月 15 日 星期三 15 时 41 分 45 秒 CST] Removing txt: qKzvMFoysWeyq2tH1__y-xOdgc1bIG1X3x0h_IZB_oo for domain: _acme-challenge.wildcard.pki.plus
[2021 年 12 月 15 日 星期三 15 时 41 分 46 秒 CST] Removed: Success
[2021 年 12 月 15 日 星期三 15 时 41 分 46 秒 CST] Verify finished, start to sign.
[2021 年 12 月 15 日 星期三 15 时 41 分 46 秒 CST] Lets finalize the order.
[2021 年 12 月 15 日 星期三 15 时 41 分 46 秒 CST] Le_OrderFinalize='https://acme.pki.plus/acme/order/gZ0DYcDk2Cy5XruW/finalize'
[2021 年 12 月 15 日 星期三 15 时 41 分 47 秒 CST] Order status is processing, lets sleep and retry.
[2021 年 12 月 15 日 星期三 15 时 41 分 47 秒 CST] Retry after: 30
[2021 年 12 月 15 日 星期三 15 时 42 分 18 秒 CST] Polling order status: https://acme.pki.plus/acme/order/gZ0DYcDk2Cy5XruW
[2021 年 12 月 15 日 星期三 15 时 42 分 19 秒 CST] Downloading cert.
[2021 年 12 月 15 日 星期三 15 时 42 分 19 秒 CST] Le_LinkCert='https://acme.pki.plus/acme/order/gZ0DYcDk2Cy5XruW/download'
[2021 年 12 月 15 日 星期三 15 时 42 分 19 秒 CST] Cert success.
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
[2021 年 12 月 15 日 星期三 15 时 42 分 19 秒 CST] Your cert is in: /Users/my/.acme.sh/1.pki.plus/1.pki.plus.cer
[2021 年 12 月 15 日 星期三 15 时 42 分 20 秒 CST] Your cert key is in: /Users/my/.acme.sh/1.pki.plus/1.pki.plus.key
[2021 年 12 月 15 日 星期三 15 时 42 分 20 秒 CST] The intermediate CA cert is in: /Users/my/.acme.sh/1.pki.plus/ca.cer
[2021 年 12 月 15 日 星期三 15 时 42 分 20 秒 CST] And the full chain certs is there: /Users/my/.acme.sh/1.pki.plus/fullchain.cer

OCSP 性能评测:

对比之下海外机构,包过付费 Sectigo 证书的 OCSP 都是要 500 毫秒以上

wget https://crt.sh/\?d\=5711085653 -O quantumca-user.crt
wget https://crt.sh/\?d\=4089178243 -O quantumca-ca.crt

for i in $(seq 0 10);
do
openssl ocsp -issuer quantumca-ca.crt  -cert quantumca-user.crt -nonce --reqout - | curl http://ocsp.sslcom.cn  -s -H 'Content-type: application/ocsp-request' -X POST --data-binary @- -w "Total time: %{time_total}\n"
done

> Total time: 0.028411
> Total time: 0.013579
> Total time: 0.014744
> Total time: 0.013982
> Total time: 0.015370
> Total time: 0.012121
> Total time: 0.012970
> Total time: 0.014744
> Total time: 0.015144
> Total time: 0.015726
> Total time: 0.013049

wget https://crt.sh/\?d\=1205293401 -O sectigo-user.crt
wget https://crt.sh/\?d\=1282303295 -O sectigo-ca.crt

for i in $(seq 0 10);
do
openssl ocsp -issuer sectigo-ca.crt  -cert sectigo-user.crt -nonce --reqout - | curl http://ocsp.sectigo.com  -s -H 'Content-type: application/ocsp-request' -X POST --data-binary @- -w "Total time: %{time_total}\n"
done
Total time: 0.475027
Total time: 0.883063
Total time: 0.463176
Total time: 1.403743
Total time: 1.464955
Total time: 0.463922
Total time: 0.462206
Total time: 0.445534
Total time: 0.472526
Total time: 0.468809
Total time: 0.461183

特殊说明

目前是试运行阶段,受限于法规政策、CA 商务合作等关系约束,运营策略可能会变动

3062 次点击
所在节点    SSL
10 条回复
wzhpro
2021-12-15 18:50:08 +08:00
不敢用
stevenhawking
2021-12-15 19:10:46 +08:00
@wzhpro 只要你做的站点内容是合法的为啥不敢呢
oott123
2021-12-15 20:41:12 +08:00
你这个运营策略可能会变动让人就不敢用了,连承诺都不敢给。
stevenhawking
2021-12-15 22:42:57 +08:00
@oott123 无所谓的,说了用爱发电,又不靠这个赚钱,免费的哪来承诺?
isCyan
2021-12-16 10:39:57 +08:00
确实免费没有承诺。但是用户总是偏好看上去稳定的嘛。
lvsemi1
2021-12-16 12:16:27 +08:00
不是挺合理的麽,各种承诺给足半个月跑路没见过?
Shiroka
2021-12-21 10:49:11 +08:00
高情商:证书链与 AWS Certificate Manager 比肩
低情商:证书链太长了

说实话,把证书链缩短一点比 OCSP 快多少多少更重要。毕竟 OCSP 并不是必要的,但是证书链不可或缺。重视它的站长应该也会用 OCSP Stapling 来改善查询缓慢或者超时的问题。![]( https://i.imgur.com/03MOKDP_d.png)
stevenhawking
2021-12-22 05:41:31 +08:00
@Shiroka

并非所有服务商和客户端都支持 OCSP Stapling 标准。比如阿里云 WAF 、深信服等厂商是不支持的,甚至有些情况下 APN 都不支持 OCSP Stapling 。
AWS Certificate Chain 过长是为了保证兼容收购了 StartfieldTech 的一个 Root ,给自己做了交叉;因此自己的 Rroot (被 StartfieldTech) 必须放到链上。我们的情况类似,要将 Certum 交叉的 Root 须放到链上。

我们觉得一次 TLS 握手多消耗 1 点几 KB 流量,相比于兼容性回报是值得的(我们能兼容 2002 年的设备客户端, 如果其支持 SHA256 + RSA 4096 的话)。
woaihsw
2022-01-10 20:13:12 +08:00
您这属实是在逗我, 这才二十多天, acme.pki.plus 就没解析了...

就这还想拉人去用...
stevenhawking
2022-01-11 23:55:59 +08:00
@woaihsw

确实停了,我们有几项关键技术在做知识产权保护;

“就这还想拉人去用...” 没有人求你用哈,欢迎不用,最好把域名发出来我们永久拉黑

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/822401

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX