澳门新葡亰信誉平台游戏Lets Encrypt 发布的 ACME v2,正式支持通配符证书

by admin on 2020年3月31日

Let’s Encrypt 发表 ACME v2 标准协理通配符证书。Let’s Encrypt
宣称将继续灭绝 Web 上运用 HTTPS 的阻碍,让种种网址轻巧获得管理证书。

经过若干回跳票,Let’s Encrypt
终于在社区发表辅助通配符证书,相关的情报和本领点见:

ACMEv 是 ACME 公约的换代版本,思谋到行当行家和别的团伙可能希望在某Smart用
ACME 左券实行理公证事务件颁发和管制,它曾经经过 IETF 规范流程。

  • ACME v2 and Wildcard Certificate Support is
    Live
  • ACME v2 Production Environment &
    Wildcards

Wildcard
certificates 允许接纳单个证书来爱惜域的享有子域。在少数情况下,通配符证书能够使证书更便于管理,以帮扶使
Web 到达100% 的 HTTPS 左券。可是对于大好多用例,Let’s Encrypt
还是推荐应用非通配符证书。

什么是 Let’s Encrypt?

安插 HTTPS 网址的时候须要评释,证书由 CA 机构签发,大多数金钱观 CA
机构签发证书是供给收取薪酬的,那不利于推进 HTTPS 公约的接受。

Let’s
Encrypt
也是贰个 CA 机构,但以此 CA
机构是无需付费的!!!也正是说签发证书无需别的成本。

Let’s Encrypt
由于是非毛利性的团队,须求调控支出,他们搞了叁个特别有新意的事体,设计了三个ACME 左券,近期该契约的版本是 v1。

那为什么要创造 ACME 协商呢,守旧的 CA
机构是人为受理证书申请、证书更新、证书撤消,完全都以手动管理的。而 ACME
协议标准化了注明申请、更新、撤除等流程,只要一个顾客端完毕了该左券的成效,通过顾客端就足以向
Let’s Encrypt 申请证书,也正是说 Let’s Encrypt CA 完全部是自动化操作的。

任何人都能够依赖 ACME
磋商落到实处一个客商端,官方推荐的顾客端是Certbot

通配符证书只好通过 ACMEv2 到手。为了将 ACMEv2
用于通配符或非通配符证书,你须要二个已更新且支持 ACMEv 的顾客端。Let’s
Encrypt 希望全体顾客和订户调换为 ACMEv2,即便 ACMEv1 API
还不曾“报销”。 

何以是通配符证书

在未曾现身通配符证书此前,Let’s Encrypt 辅助二种证件。

澳门新葡亰信誉平台游戏 ,1)单域名证书:证书仅仅包涵一个主机。

2)SAN 证书:一张证书可以富含四个主机(Let’s Encrypt 节制是
20),也正是注脚能够分包下列的主机:www.example.com、www.example.cn、blog.example.com
等等。

表明满含的主机能够不是同叁个注册域,不要问笔者注册域是怎么着?注册域便是向域名注册商购买的域名。

对此个人客商来讲,由于主机并不是太多,所以使用 SAN
证书完全没至极,可是对于大商家来讲有一对标题:

  • 子域名那些多,并且过一段时间大概就要动用二个新的主机。
  • 注册域也充足多。

读者能够思索下,对于大公司来讲,SAN 证书或然并无法满足必要,相符于 sina
那样的网址,全部的主机全体包蕴在一张证书中,而使用 Let’s Encrypt
证书是力所不如满意的。

除此以外,通配符域必需运用 DNS-01 质询类型进行求证。这标记你要求改正 DNS TXT
记录技艺演示对域的支配以获取通配符证书。

Let’s Encrypt 通配符证书

通配符证书正是表明中得以分包二个通配符,比如
.example.com、.example.cn,读者异常的快通晓,大型集团也能够动用通配符证书了,一张证书可防止备更加的多的主机了。

本条意义能够说特别首要,从成效上看 Let’s Encrypt 和价值观 CA
机构并未有何分别了,会不会打动守旧 CA 机构的利润吗?

(文/开源中华夏族民共和国卡塔尔    

如何申请 Let’s Encrypt 通配符证书

为了得以达成通配符证书,Let’s Encrypt 对 ACME 左券的实现举行了升高,唯有 v2
切磋工夫支撑通配符证书。

也正是说任何客商端只要永葆 ACME v2
本子,就能够申请通配符证书了,是否很震动。

读者能够查阅下自个儿惯用的客商端是还是不是永葆 ACME v2 本子,官方介绍 Certbot
0.22.0 版本帮助新的说道版本,作者立时开展了提高:

./certbot-auto -V
Upgrading certbot-auto 0.21.1 to 0.22.0...
Replacing certbot-auto... 

./certbot-auto -V
certbot 0.22.0 

在打听该公约在此以前有多少个注意点:

1)顾客在申请 Let’s Encrypt
证书的时候,供给校验域名的全体权,评释操小编有职责为该域名报名证书,这两天支撑三种注脚形式:

  • dns-01:给域名增多三个 DNS TXT 记录。
  • http-01:在域名对应的 Web 服务器下放置多少个 HTTP well-known UEnclaveL
    能源文件。
  • tls-sni-01:在域名对应的 Web 服务器下放置叁个 HTTPS well-known ULacrosseL
    能源文件。

而申请通配符证书,只好选用 dns-01 的方法

2)ACME v2 和 v1 左券是相互不宽容的,为了利用 v2
版本,客户端需求成立此外一个账户(代表客商端操笔者),以 Certbot
客商端为例,大家能够查阅:

$ tree /etc/letsencrypt/accounts 
.
├── acme-staging.api.letsencrypt.org
├── acme-v01.api.letsencrypt.org
└── acme-v02.api.letsencrypt.org

3)Enumerable Orders 和限制

为了落到实处通配符证书,Let’s Encrypt 在申请者身份校验上做了非常大的变动。

  • 有了订单 ID 的概念,首假如为了追踪通配符域名。
  • 申请节制,在 V1 本子,Let’s Encrypt
    为了幸免滥操作,对报名证书有部分范围(很难学习,不过平常使用不会蒙受该限量)。而
    v2 版本,对于通配符证书,多了一个限量,New Orders per
    Account(每一个证书订单数约束)。

那七个细节,后续再细心研究。

实践

小编焦急想使用 Certbot 申请通配符证书,进级 Certbot 版本运营下列命令:

 ./certbot-auto certonly  -d *.newyingyong.cn --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory 

介绍下有关参数:

  • certonly,表示安装方式,Certbot 有安装格局和认证情势二种档期的顺序的插件。
  • –manual 表示手动安装插件,Certbot
    有众多插件,差异的插件都足以申请证书,顾客能够依照需要活动选取
  • -d 为这么些主机申请证书,倘使是通配符,输入
    *.newyingyong.cn(能够替换为您本人的域名)
  • –preferred-challenges dns,使用 DNS 方式校验域名全部权
  • –server,Let’s Encrypt ACME v2 本子选拔的服务器分裂于 v1
    本子,需求呈现钦赐。

接下去便是命令行的输出:

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Enter email address (used for urgent renewal and security notices) (Enter 'c' to
cancel): ywdblog@gmail.com

-------------------------------------------------------------------------------
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
-------------------------------------------------------------------------------
(A)gree/(C)ancel: A

Plugins selected: Authenticator manual, Installer None
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for newyingyong.cn

-------------------------------------------------------------------------------
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.

Are you OK with your IP being logged?
-------------------------------------------------------------------------------
(Y)es/(N)o: y

上述有五个交互作用式的唤起:

  • 是否同意 Let’s Encrypt 左券必要
  • 叩问是否对域名和机器(IP)进行绑定

断定同意本领持续。

一而再三番两次翻看命令行的出口,非常主要:

-------------------------------------------------------------------------------
Please deploy a DNS TXT record under the name
_acme-challenge.newyingyong.cn with the following value:

2_8KBE_jXH8nYZ2unEViIbW52LhIqxkg6i9mcwsRvhQ

Before continuing, verify the record is deployed.
-------------------------------------------------------------------------------
Press Enter to Continue
Waiting for verification...
Cleaning up challenges 

务求安排 DNS TXT
记录,进而校验域名全数权,也等于决断证书申请者是还是不是有域名的全体权。

上边输出必要给 _acme-challenge.newyingyong.cn 配置一条 TXT
记录,在未曾承认 TXT 记录生效此前毫无回车实践。

作者利用的是Ali云的域名服务器,登入调整台操作如下图:

澳门新葡亰信誉平台游戏 1

https.png

然后输入下列命令确认 TXT 记录是还是不是见效:

$ dig  -t txt  _acme-challenge.newyingyong.cn @8.8.8.8    

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;_acme-challenge.newyingyong.cn.        IN      TXT

;; ANSWER SECTION:
_acme-challenge.newyingyong.cn. 599 IN  TXT     "2_8KBE_jXH8nYZ2unEViIbW52LhIqxkg6i9mcwsRvhQ"

肯定生效后,回车推行,输出如下:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/newyingyong.cn/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/newyingyong.cn/privkey.pem
   Your cert will expire on 2018-06-12. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

恭贺您,证书申请成功,证书和密钥保存在下列目录:

$ tree /etc/letsencrypt/archive/newyingyong.cn 
.
├── cert1.pem
├── chain1.pem
├── fullchain1.pem
└── privkey1.pem

然后校验证书音讯,输入如下命令:

openssl x509 -in  /etc/letsencrypt/archive/newyingyong.cn/cert1.pem -noout -text 

首要输出如下:

X509v3 Subject Alternative Name: 
    DNS:*.newyingyong.cn

八面后珑,证书包涵了 SAN 增加,该扩充的值便是 *.newyingyong.cn

招待关切本身的众生号(yudadanwx)

澳门新葡亰信誉平台游戏 2

yudadanwx

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图