V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
findex
V2EX  ›  SSL

免费长期-可靠的 SSL 证书有哪些?

  •  
  •   findex · 2016-12-13 20:31:58 +08:00 · 6147 次点击
    这是一个创建于 2901 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题。 letsencryt.org 的只有 3 个月,但是要手动或者自动用脚本更新。脚本更新也是不太简单。有没有保证方法,因为有很多域名,很多服务器,想用个长期的。 先不推荐 wosign ,有没有其他的免费证书提供方,可以提供半年或者 1 年的免费证书服务? startssl 貌似被 wosign 偷偷收购了。然后 startssl 一个账户只能有一个免费的域名,够用一年。挺费事的。你们有什么建议吗?

    29 条回复    2018-07-27 15:21:33 +08:00
    imlonghao
        1
    imlonghao  
       2016-12-13 20:40:38 +08:00 via Android
    还是 Let's Encrypt
    cloudbeyond
        2
    cloudbeyond  
       2016-12-13 20:42:25 +08:00
    都免费了,还嫌费事 Let's Encrypt 的 cert-bot 很好用, 也不用人为参与
    mokeyjay
        3
    mokeyjay  
       2016-12-13 20:45:44 +08:00 via Android
    定时任务被你吃了?
    Quaintjade
        4
    Quaintjade  
       2016-12-13 20:46:18 +08:00
    你要免费且靠谱的的,那只有 Let's Encrypt 了。
    certbot 脚本现在几乎都全自动了,去 https://certbot.eff.org/ 选择你的 http 服务器和系统版本,然后无脑复制几行命令就行,只要你 http 服务器已经配置好,脚本会自动读取你所有站点的。自动更新就一行 cron 的事。
    shiny
        5
    shiny  
       2016-12-13 20:57:42 +08:00
    阿里云、腾讯云里面可以去申请证书
    zi
        6
    zi  
       2016-12-13 21:04:39 +08:00
    可是就这样一句” certbot-auto renew “也算不太简单吗。。
    那就只能阿里腾讯的那种了
    blanu
        7
    blanu  
       2016-12-13 21:08:59 +08:00   ❤️ 1
    七牛云 SSL ,然后可以到 CDN 页面获取私钥和证书链,亲测可用
    ruimz
        8
    ruimz  
       2016-12-13 21:10:00 +08:00 via iPhone
    现在 startssl 签的是三年的了
    RobertYang
        9
    RobertYang  
       2016-12-13 21:22:15 +08:00 via Android
    webdev
        10
    webdev  
       2016-12-13 22:01:35 +08:00 via iPhone
    @imlonghao 求.well-known/challenge 虚拟目录 nginx 配置 我能通过 URL 访问下面的文件 怎么 acme.sh 老报 404 难道是因为我 http://site.com 都跳转 https://site.com 的缘故吗
    kuretru
        11
    kuretru  
       2016-12-13 22:04:52 +08:00   ❤️ 1
    Alapha 的泛域名证书 https://assl.loovit.net/
    bilok
        12
    bilok  
       2016-12-13 22:43:24 +08:00 via iPhone
    @kuretru 不能签啊提示错误
    lhbc
        13
    lhbc  
       2016-12-13 22:48:02 +08:00   ❤️ 1
    Let's Encrypt + 脚本自动续签 + Syncthing 同步证书 + 脚本自动 reload 相关进程
    爽得很。
    findex
        14
    findex  
    OP
       2016-12-14 02:51:31 +08:00
    @Quaintjade 举个例子。确实 certbot 一行命令就可以解决了。可是实际的情况是,一台主机上,有多个域名,多个网站。用的同一个 nginx 服务器做转发。所以这个脚本要执行很多次。因为 certbot 本质是用一个 apache2 的 HTTP 服务器做的网站验证,所以,根本上还得手动去关闭(或者写到 cron 脚本里自动关闭,并打开 nginx 服务)。
    但是比较复杂的是针对多域名,多站点,一个 nginx 服务器的很繁琐的。有的时候自动脚本不一定好用。

    貌似楼上这个 syncthing 的思路很爽的样子,甚至可以同步更新远程软件,固件了?
    66450146
        15
    66450146  
       2016-12-14 04:57:42 +08:00
    @findex 给每个域名设置一个静态的 location /.well-known 不就行了,配置好以后只要 certbot renew 然后 nginx reload 就行,不要太方便
    66450146
        16
    66450146  
       2016-12-14 04:58:43 +08:00
    @webdev 写到 http 的那个 server 里面,不要写在 https 那个……
    ryd994
        17
    ryd994  
       2016-12-14 06:15:08 +08:00
    @findex 用 webroot
    alex321
        18
    alex321  
       2016-12-14 07:49:13 +08:00 via Android
    @findex 官方提供的 webroot 插件,主流 webserver 都支持,用起来。
    LEFT
        19
    LEFT  
       2016-12-14 08:26:50 +08:00 via iPhone
    webdev
        20
    webdev  
       2016-12-14 09:19:20 +08:00
    @66450146 写进去了,没用,然后 442,80 端口的 2 个都写,也没用

    server {
    listen 80;
    server_name www.xyz.xyz xyz.xyz;
    server_tokens off;

    access_log /dev/null;

    if ($request_method !~ ^(GET|HEAD|POST)$ ) {
    return 444;
    }

    location ^~/.well-known/acme-challenge/ {
    alias /root/www/challenges/;
    try_files $uri =404;
    }

    #location / {
    # rewrite ^/(.*)$ https://xyz.xyz/$1 permanent;
    #}
    }
    zrj766
        21
    zrj766  
       2016-12-14 09:27:21 +08:00 via Android
    腾讯云、阿里云、七牛都提供免费一年的 trustAsia 证书
    lwbjing
        22
    lwbjing  
       2016-12-14 09:29:56 +08:00
    免费。。长期。。可靠。。。
    ragnaroks
        23
    ragnaroks  
       2016-12-14 10:32:12 +08:00
    我在等待一张图...hostloc 的人应该经常看到的那种
    ryd994
        24
    ryd994  
       2016-12-14 10:41:45 +08:00 via Android
    location /.well-known/acme-challenge/ {
    root /root/www/challenges/;
    }
    @webdev
    webdev
        25
    webdev  
       2016-12-14 10:44:50 +08:00
    @ryd994 不能用 root 的,已经解决了, acme.sh 后加了--webroot, 然后不配置这个 location 就 OK 了,他自动在根目录建好目录,权限啥都不用配了。
    findex
        26
    findex  
    OP
       2016-12-19 18:55:20 +08:00
    @zrj766 这种的人品的公司 ca 肯定不能用。

    其次大家看到 wosign 了吗?苹果已经全面禁止 wosign 了。 wosign 还偷偷的注册了 letsencrypt.cn letsencrypt.com.cn 域名来混淆市场。 wosign 偷偷地买了 startcom ,没有披露,结果 mozilla 投票剔除 wosign 的所有免费 /收费证书。

    现在用的是 letsencrypt 的。但是 3 个月更新一次。
    jj123456
        27
    jj123456  
       2016-12-21 22:32:10 +08:00
    @zrj766 Symantec root.
    erxuan2016
        28
    erxuan2016  
       2017-01-05 14:48:15 +08:00
    又拍云上了自主域名的证书服务,基于 Let's Encrypt , 自动续期,不用再本地自己生成维护了, V2 上有人说了,可以看下。 https://www.v2ex.com/t/329183#reply17
    tengwang
        29
    tengwang  
       2018-07-27 15:21:33 +08:00
    免费,从来不长期~~~~我自己还是买的 Gworg 证书,几十块。感觉自己做个站不容易,免费是其次的,稳定才是重点!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   951 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 22:35 · PVG 06:35 · LAX 14:35 · JFK 17:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.