Clever Geek Handbook

让我们加密的后备-免费自动CA

对于许多人来说,Let's Encrypt已成为Web开发不可或缺的一部分,每90天自动更新证书是一个常规过程。实际上,它现在是Internet上最受欢迎的证书颁发机构。很好,但也很危险。



这就引出了一个问题:如果让我们加密的服务器暂时停止工作怎么办?我不想考虑失败的可能原因。但是建议提供一个备用。即,同一便利的自动免费认证中心。



幸运的是,存在后备。至少两个。同样的免费自动化CA以“让我们加密”为模型。



ACME协议



与Let's Encrypt进行的所有通信均使用ACME(自动证书管理环境)协议进行。它是用于与CA进行自动交互的开放协议。“让我们加密”没有什么特别的,其他几个CA也支持。



现在是越来越多的CA通过ACME工作的时刻。这意味着我们几乎所有用于从Let's Encrypt获取证书的工具,脚本和过程都可以与支持ACME的其他CA正常工作



要重建到另一个CA,您只需要将已配置脚本中的API地址从https://acme-v02.api.letsencrypt.org/directory(我们的加密)更改为https://api.buypass.com/acme/directory(BuyPass,请参见下文)或其他。



购买通行证



我们需要一个满足两个条件的CA:



  1. ACME;

  2. .


挪威的名为BuyPass的CA符合这些条件



免费服务称为BuyPass Go SSL:自动颁发证书和证书续签以及ACME支持。你需要什么



白皮书介绍了如何建立获得和使用更新的证书Certbot,从电子前沿基金会工作的官方客户端让我们的加密或任何其他CA支持ACME协议。



在CA进行注册并在BuyPass中获得证书是基本的,就像Let's Encrypt的情况一样。



使用您的电子邮件地址注册以获取通知('YOUR_EMAIL')并同意使用条款(--agree-tos): 



root@acme:~# certbot register -m 'YOUR_EMAIL' --agree-tos --server 'https://api.buypass.com/acme/directory'


获得证书: 



root@acme:~# certbot certonly --webroot -w /var/www/example.com/public_html/ -d example.com -d www.example.com --server 'https://api.buypass.com/acme/directory'


随后,如有必要,可以使用其他Certbot命令来吊销证书(revoke),续订过期的证书(renew)和删除证书(delete)。



建议将更新命令放在cron中,然后自动运行它以检查过期的证书,以防万一。例如,像这样: 



#Cron-job scheduled under root to run every 12th hour at a specified minute (eg. 23, change this to your preference)
23 */12 * * * /opt/certbot/certbot-auto renew -n -q >> /var/log/certbot-auto-renewal.log


BuyPass对ACME有一些限制。主要限制是注册域的证书数量(每周20个)。这是指从域名注册机构购买的域名部分。也就是说,这是所有子域总数的限制。另一个限制是每周重复5次。这是每个特定子域的证书限制。验证错误有限制-每个帐户,每个主机和每小时5个。



端点请求限制new-regnew-authz以及new-cert:每秒20次。查询限制/directory:每秒40个。



该过程中的最大授权数量(待定授权):300件。



可以使用替代客户端acme.sh代替Certbot,该服务器最初也为“加密”配置,但可以轻松路由到具有ACME支持的其他CA。 



./acme.sh --issue --dns dns_cf -d example.com --server "https://api.buypass.com/acme/directory"


零SSL



另一个根据ACME协议颁发90天免费证书的CA是Austrian ZeroSSL



前面提到的acme.sh程序具有ZeroSSL支持,因此注册非常容易: 



acme.sh --register-account -m foo@bar.com --server zerossl


接下来,一个命令来生成证书: 



acme.sh --issue --dns dns_cf -d example.com --server zerossl


API调用没有限制。还有其他优点:该CA不仅提供90天免费证书,而且还提供1年免费证书,并提供Web仪表板和技术支持。



顺便说一下,ZeroSSL甚至通过Web界面生成证书,并逐步通过电子邮件进行域验证。但是,当然,此方法不适用于自动化。



其他ACME服务器



这是所有已知ACME服务器列表它们仍然很少,但是数量正在增长。





让我们加密是一个出色的组织,做得很好。但是将所有鸡蛋放在一个篮子里是危险的。CA在ACME协议下工作的越多,并以自动模式分发免费证书,则整个生态系统越多样化和可靠。



让我们加密可能会遇到停机或暂时中止活动的情况,然后Buypass和ZeroSSL将被套期保值。拥有这些后备资源最终会提高Let's Encrypt本身的可信度,因为它不再是单点故障。更改ACME的CA只需几秒钟。





GlobalSign认证中心的特别优惠





More articles:


All Articles