如何在双机热备上使用 let's encrypt 证书？

1 的问题，定时用 rsync 同步应该可以解决。

域名认证

有 DNS 认证，你可以查查。

不过双机的话，还是用同步工具（如上面提到的 rsync ）比较好。

https://github.com/GUI/lua-resty-auto-ssl
这个项目可以把证书放到 redis 里

证书不应该是在 elb 上的么

既然是双机热备，多同步一个证书文件也不是什么难事。 首选推荐自己同步证书。
由于是双机热备， 所以其实存在一种情况就是主机宕掉，切到备机，此时证书过期了，那么将无法更新。 推荐使用 acme.sh 进行 dns 验证。

不用 DNS 验证也没问题，在入口用 nginx 把.well-known 的请求反代就可以了。我都是写一个公用配置，然后各入口 include 进去。

@neilp OK，O(∩_∩)O 谢谢你的建议

@Fishdrowned 牛逼、、我喜欢这个方法

建议使用 ELB 进行 https 卸载。
用 DNS 验证；然后把证书加载到 ELB 上；业务服务器本身不处理 https。我就是这么干的。
获取证书可以参考 https://github.com/xdtianyu/scripts/tree/master/le-dns

我个人是建议 DNS 认证。

@Fishdrowned 哥们你这个方法貌似对双机热备不可行把？反代这个我可以理解，但是你反代的 elb 不是就给了一个 CNAME 吗？然后通过 CNAME 到达任意一台机器，并不是固定的，，，所以你反代肯定是不行的啊，除非专门有一台机器拿来存存储证书文件，然后反代到可以确定的目的地。。。

@ysc3839
@neilp
@coderfox
使用 DNS 后也得 rsync 进行两台机器上证书的同步吧，，，

还是说两台机器上都使用 DNS 认证，然后各自生成一份证书文件？

@whileFalse ELB 进行 https 卸载这个是什么意思，没懂，，然后证书加载到 ELB，是需要上传生成好的证书到 elb 吗？

@s609926202 反代到某台实体机不行吗？ AWS 我不熟……

@msg7086 呃，我们总共两台机器，没有多余的了，，而且为了这个貌似再购买一台不怎么划算，毕竟一台一个月的成本就得 200 多~~

通常的做法都是把证书方 ELB，EC2 只管内容分发。
配置好 IAM，有很多脚本可以实现 Let ‘ s Encrypt 证书的替换

其次可以使用 AutoScaling Group 或 CodeDeploy，脚本定期更新证书放 S3，挂上的时候自动抓下来放到指定位置。

2. 你可以用 AWS 自己的证书系统 ACM，非常方便。只要域名管理权在你手里，认证流程非常简单。
我们公司测试环境的证书都是 ACM 生成的。

@s609926202 就是说业务服务器和 elb 之间使用 http 通讯，elb 对外提供 https 服务，这就叫 https 卸载。
就是申请好证书上传到 IAM，然后和 elb 绑定。
楼上说的 acm 证书管理在中国区没有开放，我没用过。

跑个题，Symantec 的证书可以在 namecheap 免费替换成同级的 comodo 证书。
https://www.namecheap.com/symantec-replace/

为啥不在一台机器上自动更新完之后同步到另一台？

@s609926202 是要同步，不确定生成两个是否会吊销旧的那个。

@s609926202 没看懂你在说什么。你现在有两台实体机和一台 ELB，其中一台实体机做脚本，另一台实体机反代到这一台，为什么还要再买一台？我看得好懵啊。

@ysc3839 当然不会。你想想嘛，第一，重复申请证书是很普通的事情，一个网站很多前端的情况很普遍，而私钥原则上是不应该离开服务器本机的，也就是说不支持重复申请证书的话客户就必须承担私钥过网络的风险。第二，吊销证书成本非常高，签署成本只要签署就行了，而吊销必须要维护吊销列表，而且所有的客户端都会去检查吊销列表，你想想这个列表得多大，客户每次更新吊销列表得下载多少数据。

哦对了再说一次，一个账号对一个域名的认证，在一段时间内只需要一次。比如 a 域名你今天验证过了，那下个月你用同一个账号签 a 域名的证书是不需要再验证的。签 5 次 10 次不同的证书，只要域名相同就不需要再验证。