V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
MrGba2z
V2EX  ›  分享发现

Let's encrypt 内测体验

  •  2
     
  •   MrGba2z · 2015-10-22 10:57:23 +08:00 · 7625 次点击
    这是一个创建于 3315 天前的主题,其中的信息可能已经有所发展或是发生改变。

    有幸拿到了 Let's encrypt 的内测资格. 稍微简单介绍下这个东西和说下感受.

    Let's encrypt!

    官网

    简单说 Let's encrypt 就是一个的证书授权中心, 能给大家提供免费的证书来使用 TLS(有时候 https/ssl 也是指同一回事,虽然它们是有区别的)

    再简单点: 让你的网站快速免费用上 https

    有多快?

    git clone LETSENCRYPT_REPO
    cd LETSENCRYPT_FOLDER
    ./letsencrypt run
    

    然后在 CLI 里弹出 GUI(很绕吧)让你输入紧急邮箱, 要签的域名和 web 服务器类型.

    最后把得到的证书和密钥扔到 webserver 服务器配置,打开浏览器就有绿色锁了(其他配置得当的话).

    • 紧急邮箱: 恢复证书用
    • web 服务器: 可以选择 manual 或者 standalone. 我的理解是 standalone 会额外安装一个服务器完成授权认证的过程.

    如果是 Apache + Debian 的组合, 连 Apache 设置都会自动配置好...

    内测用户

    • 在内测期间指令需要加额外的参数
    • 申请地址
    • 证书有效期 90 天, 可签四个子域

    简谈

    其实我并没有用过那些需要申请的证书, 比如免费一年的 startssl. 当初有过想法, 但是想到一年后怎么处理, 再加上看到 Let's encrypt 刚出现, 就决定等这个出来后再给自己的站加 https.

    所以我无法比较两者

    但就 Let's encrypt 来说, 这个必定会促进更多的站进入 https 时代. 毕竟太简单了. 开启, 更新, 吊销只是三个简单的指令.

    MISC

    Screen Shot 2015-10-20 at 10.47.26 PM.png

    大大们, 小的水平有限, 有事好商量, 别黑我的服务器啊

    49 条回复    2016-05-24 20:07:56 +08:00
    lyragosa
        1
    lyragosa  
       2015-10-22 10:58:49 +08:00
    目前是 startssl 用户。

    坐等全平台浏览器信任了。
    jasontse
        2
    jasontse  
       2015-10-22 11:05:46 +08:00 via iPad
    StartSSL 到期了再签一张即可
    clippit
        3
    clippit  
       2015-10-22 11:07:57 +08:00
    估计不久就会被加入某证书检测阻断豪华套餐
    zent00
        4
    zent00  
       2015-10-22 11:27:23 +08:00
    操作步骤的部分你说的应该是运行了一个基于 Ncurses 的设置向导吧,不是什么 “在 CLI 里弹出 GUI ”,这样讲真看不懂。
    Hello1995
        5
    Hello1995  
       2015-10-22 11:30:12 +08:00 via Android
    StartSSL 使用中…
    laoyur
        6
    laoyur  
       2015-10-22 11:31:23 +08:00
    > 然后在 CLI 里弹出 GUI(很绕吧)让你输入紧急邮箱, 要签的域名和 web 服务器类型.

    不用验证域名所有权?
    MrGba2z
        7
    MrGba2z  
    OP
       2015-10-22 11:44:52 +08:00 via iPhone
    @laoyur
    程序会自动检验的吧
    我还没看具体的实现
    反正用起来很方便
    MrGba2z
        8
    MrGba2z  
    OP
       2015-10-22 11:45:54 +08:00 via iPhone
    @zent00
    嗯 对
    acrisliu
        9
    acrisliu  
       2015-10-22 11:50:08 +08:00
    我还是用 6 美刀的泛域名证书好了。
    jedrek
        10
    jedrek  
       2015-10-22 11:52:37 +08:00
    @acrisliu 在哪买 ?
    kozora
        11
    kozora  
       2015-10-22 11:54:12 +08:00
    @jedrek vmbox
    acrisliu
        12
    acrisliu  
       2015-10-22 11:54:15 +08:00
    @jedrek vmbox 啊 买 VPS 送证书 以前用优惠码只要 3 美元 现在优惠码失效了。
    feuvan
        13
    feuvan  
       2015-10-22 11:54:41 +08:00
    @acrisliu 请问哪里买
    acrisliu
        14
    acrisliu  
       2015-10-22 11:56:04 +08:00
    @feuvan 楼上
    dawnLuke
        15
    dawnLuke  
       2015-10-22 12:11:51 +08:00
    @MrGba2z
    额 感觉你的自我介绍的英文写的有点奇怪啊 拗口啊
    riaqn
        16
    riaqn  
       2015-10-22 12:12:34 +08:00 via iPhone
    @lyragosa 前几天官网告知 已经所有浏览器信任了
    let 's encrypt is trusted
    xierch
        17
    xierch  
       2015-10-22 15:02:46 +08:00
    这个验证域名所有权的时候,是要 bind TCP 443 吗?
    那需要把 web server 暂时停掉?
    zhicheng
        18
    zhicheng  
       2015-10-22 19:56:12 +08:00 via Android
    https://www.textarea.com/zhicheng/fenxiang-yige-https-a-di-nginx-peizhi-320/ 分享个 nginx 的配置。

    现在证书其实很便宜了,我买了三年的就 20 几刀。
    MrGba2z
        19
    MrGba2z  
    OP
       2015-10-22 20:45:40 +08:00 via iPhone   ❤️ 1
    @xierch
    是的
    如果没关掉它会提醒你手动关掉
    xierch
        20
    xierch  
       2015-10-22 22:24:03 +08:00
    @MrGba2z 这有点麻烦,尤其是考虑到只有三个月的有效期..
    TrustyWolf
        21
    TrustyWolf  
       2015-10-22 23:03:37 +08:00
    可以签四个子域这个不错,个人完全够用。
    就是希望有效期能长一点, 90 天这个太...
    xierch
        22
    xierch  
       2015-10-22 23:23:00 +08:00
    90 天说是为了鼓励自动化处理...
    MrGba2z
        23
    MrGba2z  
    OP
       2015-10-23 00:20:41 +08:00 via iPhone
    @TrustyWolf
    90 天是内测的设定 正式推出后可能会改

    其次 90 天后只要输一条指令就能自动更新了
    MrGba2z
        24
    MrGba2z  
    OP
       2015-10-23 03:47:50 +08:00
    @xierch
    @TrustyWolf
    更正下
    根据官方的说法,正式版会在 90 天后自动更新证书。(除非你之前选择了手动配置证书)
    chinni
        25
    chinni  
       2015-10-23 10:33:30 +08:00
    这个客户端我一直没有成功运行过...= =
    xierch
        26
    xierch  
       2015-10-23 14:42:34 +08:00
    @MrGba2z 但是自动更新的时候不需要把 TCP 443 让给它吗
    amazingd
        27
    amazingd  
       2015-10-23 14:56:01 +08:00
    沃通也有免费证书,最开始 3 年的,现在好像 1 年的。网页傻瓜式生成,很方便。没人用?
    MrGba2z
        28
    MrGba2z  
    OP
       2015-10-23 20:45:42 +08:00 via iPhone
    @xierch 如果是全自动安装的话
    他有个 apache/nginx 插件
    估计里面干了些什么
    millionart
        29
    millionart  
       2015-10-27 23:47:47 +08:00
    我今天也收到了,但是输入完域名后提示
    Error: serverInternal :: The server experienced an internal error :: Error creating new authz
    ahu
        30
    ahu  
       2015-11-01 16:22:38 +08:00
    Command "python setup.py egg_info" failed with error code 1 in /tmp/pip-build-V2cJTN/ConfigArgParse

    怎么破?
    kozora
        31
    kozora  
       2015-11-04 19:26:11 +08:00
    @millionart 我也遇到了
    paicha
        32
    paicha  
       2015-11-08 14:07:16 +08:00
    wzxjohn
        33
    wzxjohn  
       2015-11-08 20:43:18 +08:00
    @millionart 這個錯我也遇到了,官方解釋了,因爲服務器解析你的域名超時。。。遠離 DNSPod 保平安。。。我把域名切到 Route 53 之後沒有這個問題了。。。
    wzxjohn
        34
    wzxjohn  
       2015-11-08 20:44:14 +08:00
    @kozora
    @paicha
    剛才少 @ 兩個。
    這個錯我也遇到了,官方解釋了,大部分是因爲服務器解析你的域名超時。。。遠離 DNSPod 保平安。。。我把域名切到 Route 53 之後沒有這個問題了。。。
    paicha
        35
    paicha  
       2015-11-08 20:55:11 +08:00
    @wzxjohn 但是习惯用 DNSPod 了,安装成功之后可以切换回来吗?
    wzxjohn
        36
    wzxjohn  
       2015-11-08 21:35:45 +08:00
    @paicha 可以,只要过了服务端校验就可以。
    paicha
        37
    paicha  
       2015-11-08 22:59:44 +08:00
    @wzxjohn 我切换到国外域名注册商的 DNS 服务,还是不行。

    在官方论坛找了下
    https://community.letsencrypt.org/t/error-serverinternal-error-creating-new-authz/2181/17

    「 Update: After trying many DNS services, it seems that Amazon Route 53 is the best way that would never cause this error... If you got this error, please try switch DNS to Route 53 and try again.」

    晕,我又懒得去注册 Route 53 ……
    wzxjohn
        38
    wzxjohn  
       2015-11-08 23:33:50 +08:00
    @paicha 目测是服务端超时设置的太短了,没办法。。。我是 Route 53 过的。
    paicha
        39
    paicha  
       2015-11-08 23:41:07 +08:00
    @wzxjohn 然后我现在注册了 AWS 了,卡在了完成注册上面,账户信息和支付信息都填了,就是进不去 Route 53 的页面。提交了支持,等客服解决了。
    kozora
        40
    kozora  
       2015-11-08 23:50:48 +08:00
    @wzxjohn = = 晕了 我用高点 cloudxns 。。。
    wzxjohn
        41
    wzxjohn  
       2015-11-09 09:01:07 +08:00
    @kozora 誒,沒用過這家。。。會超時麽?
    wzxjohn
        42
    wzxjohn  
       2015-11-09 09:17:51 +08:00   ❤️ 1
    @kozora
    @paicha 剛剛實測 CloudXNS 也不行=。=至少免費套餐不行。
    kozora
        43
    kozora  
       2015-11-09 18:31:13 +08:00
    @wzxjohn 一样。。。换成 HE 的 DNS 也超时。。
    wzxjohn
        44
    wzxjohn  
       2015-11-09 20:01:02 +08:00
    @kozora 免费的目前还没找到除了 Route 53 以外的不超时的。。。不过话说 Route 53 也不算免费了。。。
    kozora
        45
    kozora  
       2015-11-10 00:31:27 +08:00
    @wzxjohn 懒得折腾了。。淘宝几块钱就搞定了= =
    MrGba2z
        46
    MrGba2z  
    OP
       2015-11-16 23:57:59 +08:00
    @wzxjohn 我用的 linode 自带的 dns
    wzxjohn
        47
    wzxjohn  
       2015-11-17 09:30:59 +08:00
    @MrGba2z 这个感觉不能算免费的呀。。。
    littlewey
        48
    littlewey  
       2016-01-30 07:42:22 +08:00
    @MrGba2z 过期了哈。
    zeroxia
        49
    zeroxia  
       2016-05-24 20:07:56 +08:00
    现在稳定了没有?如果设置 cron 任务,每个月更新,靠谱吗?如果更新失败,如何自动通知?比如发个邮件给特定邮箱,这个如何自动化?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2664 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 15:33 · PVG 23:33 · LAX 07:33 · JFK 10:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.