放弃Let's Encrypt证书,全站更换ZeroSSL证书
网站一直以来都是使用的Let's Encrypt SSL证书,主要是因为Let's Encrypt浏览器兼容性较好,支持ACME自动化部署,支持泛域名证书等,但是今天起网站开始放弃Let's Encrypt证书,全站更换ZeroSSL提供的SSL证书。
为什么放弃Let's Encrypt证书?
由于Let's Encrypt证书的OCSP验证域名由于未知原因无法访问,不过网站前一阵子给服务器开启了OCSP装订,变相解决了部分浏览器访问缓慢的问题;
但是经过测试,发现有些浏览器,比如IOS端 Chromium 系的浏览器:Chrome、新版Egde等,就算服务器开启了OCSP装订,还是会去强制访问OCSP验证证书有效性,虽然超时时间只有3s,但是问题没有得到解决就很不爽;
不过也没有更好的解决办法了。
并且Let's Encrypt的X3根证书也将到期,之后会使用自己签发的根证书,虽然根证书更换后OCSP无法访问的问题会得到解决,但是新的根证书时间太短导致安卓7以下以及16年以前的一些设备没办法信任这个证书导致老设备的兼容性问题;
看来只能更换SSL证书来彻底解决该问题了。
为什么选择ZeroSSL?
经过大佬Luminous推荐,ZeroSSL家的SSL证书可支持ACME自动化部署,并且支持申请泛域名证书,所以准备考虑切换到这家CA的证书;
ZeroSSL的证书之前也听说过,没有考虑的原因是之前我点开价格后发现免费用户只能签3个单域名证书,其他的类型证书都是收费的(贫穷限制了我的想象力);
不过也怪我研究不够深入,在ACME文档的介绍中发现,通过ACME自动部署的方式,可以进行无限制的签发普通域名、多域名证书、甚至通配证书等,并且可以acme.sh脚本官方也支持直接将CA切换到ZeroSSL,直接一键就可以完成证书的切换!
既然更换证书的成本这么低了,那何乐而不为呢?
接下来就准备直接将acme.sh的证书由默认的Let's Encrypt CA切换到ZeroSSL CA;
更换ACME.sh的CA为ZeroSSL
这里我的证书是使用acme.sh统一管理的,并且acme.sh官方也支持切换CA到ZeroSSL;
acme.sh的安装可参考官方文档:https://github.com/acmesh-official/acme.sh/wiki/How-to-install
1.访问账户注册页面注册一个ZeroSSL账户
传送门:https://app.zerossl.com/signup
2.获取账户的EAB凭证,用来注册acme帐户
传送门:https://app.zerossl.com/developer
点击生成会生成你的eab-kid和eab-hmac-key,复制保存下来;
3.注册ACME帐户
acme.sh --register-account --server zerossl \
--eab-kid 你的eab-kid \
--eab-hmac-key 你的eab-hmac-key
4.切换默认CA
接下来你就可以添加--server zerossl指令来签发新的证书了,如下:
acme.sh --server zerossl --issue --dns dns_dp -d ffis.me -d *.ffis.me
或者直接切换acme.sh的默认CA为ZeroSSL
acme.sh --set-default-ca --server zerossl
5.签发新证书,这里我签发的是泛域名证书
acme.sh --issue --dns dns_dp -d ffis.me -d *.ffis.me
签发完毕后证书会保存在/root/.acme.sh目录下,我们一般不直接访问此目录
6.安装新证书
acme.sh --install-cert -d ffis.me \
--key-file /usr/local/nginx/conf/ssl/ffis.me.key \
--fullchain-file /usr/local/nginx/conf/ssl/ffis.me.crt \
--reloadcmd "systemctl force-reload nginx.service"
以上命令会将证书复制到nginx指定目录下,并且强制重新加载nginx,并且以后每次自动续期都会自动执行以上逻辑;
安装完毕后,我们修改网站nginx配置文件中ssl证书文件地址为上面的安装地址即可。
经过如上操作,我的SSL证书就更换为ZeroSSL家的证书了!
这样OCSP无法访问的问题也就迎刃而解了,当然也可以自己去配置OCSP装订和手动预缓存,来提高加载速度
(资源库 www.zyku.net)
原文链接:https://www.ffis.me/archives/2110.html
上一篇:返回列表
栏 目:SSL证书
下一篇:使用Certify申请Lets Encrype通配符SSL证书
本文标题:放弃Let's Encrypt证书,全站更换ZeroSSL证书
本文地址:https://www.zyku.net/ssl/2318.html
您可能感兴趣的文章
- 06-16windows服务器中检测PHP SSL是否开启以及开启SSL的方
- 05-18云服务商平台汇总大全
- 03-19SSL免费证书已更新为Let's Encrypt R3版本
- 04-01OneinStack使用dnsapi获取 Let's Encrypt 证书
- 03-30Windows下IIS安装SSL证书并自动续期
- 08-02SSL证书.key转.pem的方法
- 07-22OneinStack安装GoGetSSL Comodo Free SSL证书的方法(
- 06-18帝国CMS7.5版新增支持HTTPS传输协议,更安全
- 02-29Apache的SSL加密配置方法教程
- 02-23[mysql]ERROR 1364 (HY000): Field 'ssl_cipher' does
- 01-12鹦果家长端-鹦果家长端应用软件功能介
- 01-11苏菲亚认昆虫-苏菲亚认昆虫应用软件功
- 01-19萌股-萌股应用软件功能介绍
- 01-17百盟影视-百盟影视应用软件功能介绍
- 02-17帝国CMS-阅读心情插件下载
- 01-11饼图每日计划-饼图每日计划应用软件功
- 07-07小天才手表使用支付宝存入零花钱教程
- 12-28教师押题库-教师押题库应用软件功能介
- 07-09SQL Server数据库恢复错误 The media
- 01-08安康家政师傅-安康家政师傅应用软件功
最近更新
猜你喜欢
- 02-07苹果12关闭睡眠闹钟方法
- 08-14剪映怎么做变宝宝特效
- 11-03QQ浏览器怎么屏蔽首页资讯图片
- 01-12青年相机-青年相机应用软件功能介绍
- 04-22小米12pro关闭系统更新教程
- 02-19Discuz!管理员无法登录后台时如何更新
- 01-18蛇在屏幕上爬-蛇在屏幕上爬应用软件功
- 12-08小米手机nfc添加公交卡教程分享
- 02-20Ubuntu安装字体教程
- 09-15ipad mini6配置参数介绍
