ACME与Let's Encrypt:自动化证书
ACME(自动证书管理环境,RFC 8555)是让服务器证明对域名的控制权并在无人工干预下获取证书的协议。Let's Encrypt使其普及,如今许多CA都已支持。
证书如何签发
- 你的ACME客户端(certbot、acme.sh、Caddy等)创建账户和密钥。
- 向CA申请证书并收到质询(challenge)。
- 通过完成质询来证明控制权。
- CA验证并签发;客户端安装并安排续期。
HTTP-01 与 DNS-01
| 质询 | 如何证明控制权 | 最适合 |
|---|---|---|
| HTTP-01 | 在80端口的 /.well-known/acme-challenge/… 提供令牌 |
单台Web服务器 |
| DNS-01 | 发布 _acme-challenge TXT记录 |
通配符、未在80端口公开的服务器 |
DNS-01是获取通配符证书的唯一方式,即使主机未在80端口公开也能工作。
付费证书仍适用的场景
ACME签发域名验证(DV)证书。若你需要组织验证(OV)或EV(常见于金融、电商信任或合同要求),商用证书才是合适工具。请参见 高性价比SSL证书(Slogical)。
无论如何都应自动化续期,并用本站 SSL/TLS检测 验证结果。背景:检查证书有效期。
备注: 务必在剩余有效期约⅓之前续期。Let's Encrypt证书有效90天,应在第60天续期。