上个月就收到了官方的内测邮件,今天终于有时间折腾下。结果搞了两个小时才签了一个证书出来。不但流程各种复杂,软件还 bug 一堆。要服务器做验证不说,还得占用 80 端口,验证的时候要我关掉占用 80 的服务,它开一个 SimpleHTTPServer 来搞验证。这一般生产用的域名谁敢这么折腾。还是我姿势不对,有更简单的办法。
而且有效期只有三个月。到时候还得重新签。又得折腾一次。
在目前单域名付费证书这么便宜的情况下, Let's Encrypt 真的有竞争力么。
也可能只是目前内测存在的 bug 比较多。总之希望越变越好啦,至少验证不要搞这么麻烦。。。
 |
1
oott123 Nov 5, 2015 via Android
三个月为了安全呗。
不过关 80 略神奇,不应该提供一些别的验证方法? |
 |
2
Laforet Nov 5, 2015
内测证书时间短,正式开始服务之后应该还是一次签一年的。
自动域名验证目前只整合了 apache ,用其他服务端确实有点难受,希望以后可以解决。如果软件做好了,还是比现在的生成私钥--->签署 CSR--->CSR 送审--->获得证书--->部署证书这一系列过程方便的。 |
 |
3
phoenixlzx Nov 5, 2015 via Android
楼主域名不错...
letsencrypt 影响了一大票商业 CA 的利益,能做到这一步已经很不容易了... |
 |
5
tms OP @phoenixlzx 名字缩写 2333333 。我反而觉得目前的体验来看短期之内它影响不了商业 CA 的利益。坐等进化
|
|
6
phoenixlzx Nov 5, 2015 via Android
|
|
7
tms OP @Laforet 我用 nginx 只能关掉开个 SimpleHTTPServer 了,不过看官方文档还是有打算要做其他服务端的插件的。还有我验证的时候部署网站的服务器和我开验证软件的服务器不是一台。我把域名指到验证用的服务器了。也生效了。用手动模式-a -manual 也通过了前面的。就是到验证那一步的时候还是要去我原先的服务器上验证一次。这是怎么回事。好像是本机发起一次验证,他们 api 那边还要发起一次验证。远程那次就去我之前的 ip 了。是 api 那台服务器的 dns 更新略慢还是就是不能改 ip 的机制。
|
 |
8
jason14 Nov 5, 2015
一直在看这货到底打的什么牌 我也是卖商业 SSL 的...>>
|
 |
9
Cloudee Nov 5, 2015  3
可以配置把验证用的文件放到一个目录里,然后 web server 的 80 端口的 server 配上对应的 location 就成,比如 /etc/letsencrypt/cli.ini 中配置
authenticator = webroot webroot-path = /srv/http/letsencrypt nginx 的 80 端口的服务中配置上 location /.well-known { alias /srv/http/letsencrypt/.well-known; } 这样更新证书就不用停原来的 80 端口了 |
 |
10
dndx Nov 5, 2015
不一定需要占 80 端口,如果 authenticator 使用 manual 会要求你手动创建一个 json 文件放在 Web 服务器上验证。
|
 |
13
kozora Nov 5, 2015
遇到这个错误= = Error: serverInternal :: The server experienced an internal error :: Error creating new authz
|
 |
14
dorentus Nov 5, 2015
 我是没几分钟就搞定了…… 这种验证方式之后可以做到支持自动化,到时候只要有一个有经验的人把它配置好,就不用太操心了。 |
|
16
tms OP @dorentus 如果刚好环境合适,没问题的情况下应该是挺快的。我是 python 版本、域名解析、端口绑定之类的各种小问题。而且官方的报错和文档太少了。花了很多时间在这上面。还是感觉这东西的生成对服务器依赖程度太高。
|
 |
19
GPU Nov 5, 2015
現在還可以申請嗎?
|
|
20
tms OP @GPU 不清楚 你可以试试 https://letsencrypt.org/2015/09/14/our-first-cert.html 这里面的链接。要翻墙
|
 |
22
xierch Nov 5, 2015
毕竟是 beta 嘛...
它的目标是全自动处理, 一两年的有效期,配完就不管了,一年后很可能忘掉, 三个月的有效期就不得不自动化了.. |
 |
23
lyragosa Nov 5, 2015
我是懒人
坐等巨巨们放出一键自动化签证书续期脚本之类的…… |
 |
24
zho6 Nov 5, 2015
|
 |
28
ahu Nov 5, 2015
发现 winXP 下系统还不认 Lets 证书,楼主网站打不开...
|
 |
31
stillness Nov 6, 2015
@kozora 我也碰到了这样的错误,日志里看最后收到一个 500 的响应,就异常退出了。
acme.client:Received response <Response [500]> {"type":"urn:acme:error:serverInternal","detail":"Error creating new authz"}' 看这个完成度,这个月内真能完全公开给所有人用么? |
 |
34
yeyeye Nov 9, 2015
@ghw 哥们 我真的不知道你们坚持 XP 不支持 SNI 的自信从哪来的(对不起我实在不愿意用这么的口气,但是你们有点坚持得过头了,而在 V2EX 已经遇到 N 多次如此坚持过头的事情了[我是说其他事情])
V2EX 已经有实践贴了,但是根本就没几个人留意,看到这个帖子之后我马上做了实验,事实证明确实是真实的。 《实践是检验真理的唯一标准—— Windows XP 支持 SNI ,即使是 Internet Explorer 6 》 https://www.v2ex.com/t/157322 |
 |
35
anyforever Dec 8, 2015
搞半天没装上, python 总是报错。。。 2.6 版本。升级到 3 版本, yum 又报错,把它改成 2.6 版解析之后,其它文件又有报错的。。。这回折腾大发了。。
|
|
36
tms OP @anyforever yum 在 python3 下面报错,只需要改一下 yum 就好了,目前 lets encrypt 只支持 python3
|
 |
39
phrnet Oct 18, 2016
|
|
40
tms OP @phrnet https://www.v2ex.com/t/155835 下半部分是之前搞的一个东西。上半部分左边 PV 就是单纯用 redis 统计的。右边 mysql 统计是做 binlog 解析的时候顺便统计了一下。
|
 |
41
2ez4Kaboom Mar 5, 2018
问下为你的.im 域名可以使用三级域名?.im 域名不是不支持三级域名吗
|
|
42
tms OP @2ez4Kaboom #41 支持的啊。我是直接用二级的 NS 记录搞的
|
|
43
2ez4Kaboom Mar 5, 2018
|
|
44
tms OP |
Select Language