V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yuhaaitao
V2EX  ›  SSL

怎么让一个网站签发多张 letsencrypt 证书?

  •  
  •   yuhaaitao · 2016-09-17 14:20:28 +08:00 · 8378 次点击
    这是一个创建于 2996 天前的主题,其中的信息可能已经有所发展或是发生改变。
    需要每个子域名一个 letsencrypt 证书,目前主域名 yuhaitao.com 和图片子域名 image.yuhaitao.com 已经通过 https://www.sslforfree.com 签发两张 letsencrypt 证书,且可以顺利续期。
    由于全站强制 https ,不知道怎么解除强制 https ,导致在 https://www.sslforfree.com 签发新的子域名:qiandao.yuhaitao.com 无法打开 http://qiandao.yuhaitao.com/.well-known/acme-challenge/PaJY7bcGojWV2e5dWy0QShIX9Db9-DUgcN_oXNiazvU (会自动跳转到 https,导致打不开)而不能签发证书,现在已是死循环。
    网站是虚拟主机 cpanel 管理界面,虚拟主机有别的办法签发 letsencrypt 证书吗?
    或者怎么解除强制 https?
    36 条回复    2016-10-19 13:41:23 +08:00
    mrjoel
        1
    mrjoel  
       2016-09-17 15:00:27 +08:00 via iPhone   ❤️ 1
    把需要签发的子域解析道另一台没有部署 https 的临时服务器
    yuhaaitao
        2
    yuhaaitao  
    OP
       2016-09-17 15:28:42 +08:00
    @mrjoel 临时服务器上搭建博客程序,验证后再解析到之前的服务器吗?
    mrjoel
        3
    mrjoel  
       2016-09-17 15:38:22 +08:00   ❤️ 1
    @yuhaaitao 找了一个教程你参考 http://www.laozuo.org/7742.html

    .well-known/ 这个目录只是验证文件的话,只要你在另一个临时服务器上建立目录,并上传验证文件通过验证就行了。
    sneezry
        4
    sneezry  
       2016-09-17 15:41:00 +08:00 via Android   ❤️ 1
    试试我写的 let's encrypt agent😃 https://ssl.md
    ovear
        5
    ovear  
       2016-09-17 15:46:21 +08:00
    cloudxns let's encrypt
    yuhaaitao
        6
    yuhaaitao  
    OP
       2016-09-17 15:51:11 +08:00
    @sneezry 就是为这个时候准备的呀,正在解析域名

    这样对不?
    yuhaaitao
        7
    yuhaaitao  
    OP
       2016-09-17 15:53:56 +08:00
    @mrjoel 谢谢,之前也是参考这篇文章配置的,现在临时服务器不好找,有个版瓦工的 vps ,刚搞了一个不会弄,域名解析不过去。
    sneezry
        8
    sneezry  
       2016-09-17 15:54:01 +08:00 via Android
    @yuhaaitao 是 NS ,不是 CNAME
    sneezry
        9
    sneezry  
       2016-09-17 15:55:00 +08:00 via Android   ❤️ 1
    @yuhaaitao _acme-challenge.qiandao ,主机名写这个
    yuhaaitao
        10
    yuhaaitao  
    OP
       2016-09-17 16:01:14 +08:00
    @yuhaaitao
    到这一步是什么意思?
    sneezry
        11
    sneezry  
       2016-09-17 16:17:40 +08:00 via Android   ❤️ 1
    @yuhaaitao 传 csr 上去就可以签发证书了, csr 生成的命令在填写 csr 的页面有提示
    yuhaaitao
        12
    yuhaaitao  
    OP
       2016-09-17 16:30:52 +08:00
    @sneezry
    命令这样写的
    openssl req -new -newkey rsa:2048 -nodes
    -out qiandao_yuhaitao_com.csr -keyout qiandao_yuhaitao_com.key
    -subj "/C=US/ST=California/L=xinye/O=签到 /OU=签到程序 /CN=qiandao.yuhaitao.com"

    提交后没反应
    sneezry
        13
    sneezry  
       2016-09-17 16:39:57 +08:00 via Android   ❤️ 1
    把 qiandao_yuhaitao_com.csr 的内容完整复制进 CSR 那个页面的文本框中,然后上传,应该就会提示证书会发到你的邮箱里了
    yuhaaitao
        14
    yuhaaitao  
    OP
       2016-09-17 17:06:24 +08:00
    @sneezry
    在那个网站上下载文件吗?


    这个网站上生成的上传后没反应。
    tension
        15
    tension  
       2016-09-17 17:14:39 +08:00   ❤️ 3
    https://ssl.50api.net/ 签发一张泛域名搞定。。。
    arfaWong
        16
    arfaWong  
       2016-09-17 17:24:22 +08:00   ❤️ 1
    https://github.com/Neilpang/acme.sh
    使用第八种方法 Automatic DNS API integration
    sneezry
        17
    sneezry  
       2016-09-17 17:28:58 +08:00 via Android   ❤️ 1
    @yuhaaitao 那个网站只给你运行命令,不帮你生成 CSR ,任何帮你生成 CSR 的服务都能掌握你的私钥,从而对你的网站做中间人攻击,那个命令需要你自己在终端里运行。
    huangtao728
        18
    huangtao728  
       2016-09-17 17:39:03 +08:00
    @tension
    这个怎么用?
    yuhaaitao
        19
    yuhaaitao  
    OP
       2016-09-17 17:50:07 +08:00
    @tension 泛域名好像很厉害
    yuhaaitao
        20
    yuhaaitao  
    OP
       2016-09-17 17:51:46 +08:00
    @sneezry
    谢谢,我在网上找了个在线生成 crs 的,填上去就行了。
    在线生成的会受到攻击吗?
    证书更新了两次, crs 应该不变。
    sneezry
        21
    sneezry  
       2016-09-17 17:53:07 +08:00 via Android   ❤️ 1
    @yuhaaitao 帮你生成 csr 的网站只是能够对你进行中间人攻击,但不代表他会这么做。
    yuhaaitao
        22
    yuhaaitao  
    OP
       2016-09-17 17:58:16 +08:00
    @sneezry 谢谢,便利就容易留下安全隐患。
    tension
        23
    tension  
       2016-09-17 18:00:06 +08:00   ❤️ 3
    @huangtao728
    @yuhaaitao

    Gift-57c4253adefcd
    Gift-57c4253ae148a
    Gift-57c4253ae39a1
    Gift-57c4253ae5c89
    Gift-57c4253ae819e
    Gift-57c4253aea409
    Gift-57c4253aec8ce
    Gift-57c4253aeeb47
    Gift-57c4253af100a
    Gift-57c4253af32c3

    十个码。。。 =)

    记得备份证书,这个不需要生成 CSR 的。直接配置即可。
    sneezry
        24
    sneezry  
       2016-09-17 18:07:41 +08:00 via Android   ❤️ 1
    ovear
        25
    ovear  
       2016-09-17 18:18:47 +08:00
    @tension 我擦? starssl 支持免费泛域名?
    yuhaaitao
        26
    yuhaaitao  
    OP
       2016-09-17 18:27:46 +08:00
    @tension
    多谢礼品码,也能体验泛域名证书了。
    YK46PTT
        27
    YK46PTT  
       2016-09-17 18:30:40 +08:00
    Gift-57c4253aec8ce 已用。谢谢 @tension
    crystom
        28
    crystom  
       2016-09-17 18:40:04 +08:00
    @tension 用 chromebook 打开网站提示请使用 PC 端访问该网页,我的 ua 是 Mozilla/5.0 (X11; CrOS x86_64 8530.81.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.103 Safari/537.36,不过似乎覆盖 ua 也不行
    huangtao728
        29
    huangtao728  
       2016-09-17 18:40:14 +08:00
    @tension
    感谢!
    Gift-57c4253af32c3
    已用~签发流程好快!
    yygymmq
        30
    yygymmq  
       2016-09-17 19:05:15 +08:00
    Gift-57c4253ae39a1 已用, 感谢!感谢!
    tSQghkfhTtQt9mtd
        31
    tSQghkfhTtQt9mtd  
       2016-09-17 19:28:22 +08:00
    @tension 用完了,还有吗,付费的也行
    tension
        32
    tension  
       2016-09-17 20:21:38 +08:00   ❤️ 1
    @liwanglin12 其实吧。。我还有很多,此站站长给我了 100 个,但是最好去买他的产品,买他的任意产品都可以无限的获取 Gift 码。。。
    tension
        33
    tension  
       2016-09-17 20:22:32 +08:00   ❤️ 1
    @ovear 我可没说这是免费的。。。

    我只是免费给你们而已!
    zxy
        34
    zxy  
       2016-09-17 21:51:31 +08:00
    @tension 搜了下,是卖 vps 的 x 鸡么
    tension
        35
    tension  
       2016-09-17 22:09:41 +08:00
    @zxy 对的,
    kalagxw
        36
    kalagxw  
       2016-10-19 13:41:23 +08:00
    @tension 码没了 在哪可以弄到码
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1119 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 44ms · UTC 23:46 · PVG 07:46 · LAX 15:46 · JFK 18:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.