DNS验证方式如何验证
在线测试:DiG GUI - DiG Online, DiG Web Interface, DiG DNS, Google Dig, Online Dig, Dig Tool
letsencrypt证书申请:
https://letsencrypt.osfipin.com/user-0408/order/detail?id=63mvyl
第一步:华为云申请证书:
第二步:填写域名和ip
第三步:来到来此加密 - Let's Encrypt 在线免费申请SSL证书 给域名申请证书,因为2023年11月之后华为云开始收费了
第四步用dns开始验证
第五步回到华为云创建txt确认
第六步客户端验证:
第七步在验证本条
也可以在下面找个地址验证dns和txt
DNS验证方式如何验证
在线测试:DiG GUI - DiG Online, DiG Web Interface, DiG DNS, Google Dig, Online Dig, Dig Tool
验证txt记录
验证A记录:
证书渠道(CA)如何选择
渠道即CA平台。利用这些平台提供的接口,实现了证书申请功能。
小部分情况下,当验证失败后,更换渠道可能会成功。
渠道有可能会出现偶发性故障,导致无法申请或无法验证成功。
各渠道的区别
一、Let's Encrypt
1、默认渠道,使用比较多。3个月有效期。
2、渠道服务器使用Cloudflare(泛播)。
3、根证书起始时间:2015年6月4日。
4、设备兼容性官方解答。
二、zerossl
1、与Let's Encrypt类似。
2、没有数量的限制,即一个域名可以随意申请,不会限制数量。如果Let's Encrypt出现rate limit提示,可使用此渠道申请。
3、渠道服务器在英国。
4、根证书起始时间:2004年1月1日。
5、偶尔会出现无法申请的情况。
三、buypass
1、6个月有效期。
2、不支持泛域名,一个证书最多6个单域名。
3、渠道服务器在挪威。
4、根证书起始时间:2010年10月26日。
5、偶尔会出现无法申请的情况。
6、部分根域和域名无法申请。
四、google(公测)
1、与Let's Encrypt类似。
2、渠道服务器为谷歌云。大陆无法访问。
3、不支持IDN域名(中文域名)
4、根证书起始时间:2016年06月22日。
备注
1、一般来说,根证书起始时间越早,对旧设备的兼容性高一些。Let's Encrypt有兼容方案可以实现对旧设备的兼容。如无必要,不建议支持旧设备,可能会降低安全性。
2、如果不需要泛域名,建议buypass,6个月有效期还是挺香的。
3、不要试图比较他们的证书谁更好更安全(如果你纠结这些,请出门右转购买企业认证的OV和EV证书)。
无法选择渠道(如何开启此功能)
渠道本质上并没有做限制,任何人都可以自由选择。
1、绑定微信小程序后,当日签到,即可选择其他渠道。
2、加入VIP。
3、部分渠道由于服务器稳定性,导致短时间内不可用时,不可选择。
一、acme.sh SSL汇总
|---------|---------------|---------|---------|---------|------------------|
| 功能 | Let's Encrypt | Buypass | ZeroSSL | SSL.com | Google Public CA |
| 有效期 | 90天 | 180天 | 90天 | 90天 | 90天 |
| 多域名 | 支持 | 最多5个 | 支持 | 收费 | 支持 |
| 泛域名 | 支持 | 支持 | 支持 | 收费 | 支持 |
| 错误限制 | 5次/时 | 5次/时 | 无 | 无 | 无 |
| SSL管理 | 无 | 无 | 有 | 有 | 无 |
| ECC 证书链 | 有 | 无 | 有 | 无 | 有 |
| 客户支持 | 论坛 | 收费 | 收费 | 收费 | 收费 |
二、acme.sh安装方法
网站:
acme.sh 是一个集成了 ACME 客户端协议的 Bash 脚本,找一台VPS主机(参考:VPS主机排行榜单),使用以下命令来安装。
curl https://get.acme.sh | sh -s [email protected]
如果你用的是国内的VPS,可能会出现在线安装失败的情况,可以使用源码直接安装:
git clone https://github.com/acmesh-official/acme.sh.git
cd ./acme.sh
./acme.sh --install -m [email protected]
自定义
./acme.sh --install --home /home/wubo/rancher/cert/acme --config-home /home/wubo/rancher/cert/acme/data --cert-home /home/wubo/rancher/cert/acme/certs --accountemail "[email protected]"
请注意替换 [email protected] 为你自己的邮箱,安装完成后重新加载 Bash:
source ~/.bashrc
也可以开启自动更新:
acme.sh --upgrade --auto-upgrade
切换 Let's Encrypt
acme.sh --set-default-ca --server letsencrypt
切换 Buypass
acme.sh --set-default-ca --server buypass
切换 ZeroSSL
acme.sh --set-default-ca --server zerossl
切换 SSL.com
切换 Google Public CA
acme.sh --set-default-ca --server google
四、免费SSL证书限额
Let's Encrypt限额如下:
每个注册域名可签发证书数量 (每周50张)。超出每个注册域名可签发证书数量限制的请求,将会得到 too many certificates already issued 的报错信息。
每份证书最多100个域名,即每周可以为5000个不同的子域名申请签发证书。
每周最多 5 张重复证书 的限制。一旦超过重复证书数量的限制,将会以错误消息 too many certificates already issued for exact set of domains 报告。
验证失败 限制,为每账号、每主机名、每小时5次。超出验证失败限制将会得到 too many failed authorizations recently 的报错信息。
每个 IP 地址在 3 小时之内最多可以创建 10 个账户 。 每个 IPv6 /48 地址段每 3 小时最多可以创建 500 个账户。
更多说明见官网:https://letsencrypt.org/zh-cn/docs/rate-limits/
挖站否VPS监控SSL证书由原来的TrustAsia即赛门铁克(Symantec)个人DV SSL证书换成了letsencrypt免费SSL证书,原因是Chrome 70开始将开始不再信任 Symantec证书了,自己正在用的Chromium浏览器已经不能再打开Symantec证书的网站了。
赛门铁克(Symantec)个人DV SSL证书是在腾讯云申请的,实际上国内的阿里云、七牛云、又拍云等都提供了免费一年赛门铁克(Symantec)个人DV SSL证书。自己犯了错,干脆把之前的SSL产品趁"打烊"之前清仓大处理了? 这也怪不得赛门铁克(Symantec)在国内搞了这么多的免费推广。
本篇文章就来分享一下利用acme.sh 来一键申请和安装letsencrypt免费SSL证书,基本上可以适合各大VPS主机服务器,而且acme.sh可以自动更新SSL证书,再也不用担心SSL证书会过期的问题的。从我的个人使用经验来看,官方推荐的Certbot还是不如acme.sh好用一些。
acme.sh 有两种方式验证: http 和 dns 验证。
http 方式需要在你的网站根目录下放置一个文件, 来验证你的域名所有权,完成验证. 然后就可以生成证书了.(需要公网IP和开放相应端口)
手动 dns 方式, 手动在域名上添加一条 txt 解析记录, 验证域名所有权.以阿里云为例,你需要先登录到阿里云账号,生成你自己的 api id 和 api key,它是免费的 (建议开启阿里云【RAM 访问控制】,只给 AliyunDNSFullAccess 权限策略,这样做更安全)。
这里采用不需要公网IP 的 DNS验证。
使用acme.sh有三种申请方法
- 使用HTTP校验方式申请证书
- 使用DNS手动校验方式申请证书
- 使用DNSAPI校验方式申请证书