怎么让一个网站签发多张 letsencrypt 证书？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 2981 天前的主题，其中的信息可能已经有所发展或是发生改变。

需要每个子域名一个 letsencrypt 证书，目前主域名 yuhaitao.com 和图片子域名 image.yuhaitao.com 已经通过 https://www.sslforfree.com 签发两张 letsencrypt 证书，且可以顺利续期。
由于全站强制 https ，不知道怎么解除强制 https ，导致在 https://www.sslforfree.com 签发新的子域名:qiandao.yuhaitao.com 无法打开 http://qiandao.yuhaitao.com/.well-known/acme-challenge/PaJY7bcGojWV2e5dWy0QShIX9Db9-DUgcN_oXNiazvU （会自动跳转到 https,导致打不开）而不能签发证书，现在已是死循环。
网站是虚拟主机 cpanel 管理界面，虚拟主机有别的办法签发 letsencrypt 证书吗？
或者怎么解除强制 https?

强制

域名

子域名

解除

36 条回复 • 2016-10-19 13:41:23 +08:00

mrjoel

2016-09-17 15:00:27 +08:00 via iPhone

把需要签发的子域解析道另一台没有部署 https 的临时服务器

yuhaaitao

2016-09-17 15:28:42 +08:00

@mrjoel 临时服务器上搭建博客程序，验证后再解析到之前的服务器吗？

mrjoel

2016-09-17 15:38:22 +08:00

@yuhaaitao 找了一个教程你参考 http://www.laozuo.org/7742.html

.well-known/ 这个目录只是验证文件的话，只要你在另一个临时服务器上建立目录，并上传验证文件通过验证就行了。

sneezry

2016-09-17 15:41:00 +08:00 via Android

试试我写的 let's encrypt agent😃 https://ssl.md

ovear

2016-09-17 15:46:21 +08:00

cloudxns let's encrypt

yuhaaitao

2016-09-17 15:51:11 +08:00

@sneezry 就是为这个时候准备的呀，正在解析域名

这样对不？

yuhaaitao

2016-09-17 15:53:56 +08:00

@mrjoel 谢谢，之前也是参考这篇文章配置的，现在临时服务器不好找，有个版瓦工的 vps ，刚搞了一个不会弄，域名解析不过去。

sneezry

2016-09-17 15:54:01 +08:00 via Android

@yuhaaitao 是 NS ，不是 CNAME

sneezry

2016-09-17 15:55:00 +08:00 via Android

@yuhaaitao _acme-challenge.qiandao ，主机名写这个

yuhaaitao

2016-09-17 16:01:14 +08:00

@yuhaaitao
到这一步是什么意思？

sneezry

2016-09-17 16:17:40 +08:00 via Android

@yuhaaitao 传 csr 上去就可以签发证书了， csr 生成的命令在填写 csr 的页面有提示

yuhaaitao

2016-09-17 16:30:52 +08:00

@sneezry
命令这样写的
openssl req -new -newkey rsa:2048 -nodes
-out qiandao_yuhaitao_com.csr -keyout qiandao_yuhaitao_com.key
-subj "/C=US/ST=California/L=xinye/O=签到 /OU=签到程序 /CN=qiandao.yuhaitao.com"

提交后没反应

sneezry

2016-09-17 16:39:57 +08:00 via Android

把 qiandao_yuhaitao_com.csr 的内容完整复制进 CSR 那个页面的文本框中，然后上传，应该就会提示证书会发到你的邮箱里了

yuhaaitao

2016-09-17 17:06:24 +08:00

@sneezry
在那个网站上下载文件吗？

这个网站上生成的上传后没反应。

tension

2016-09-17 17:14:39 +08:00

去 https://ssl.50api.net/ 签发一张泛域名搞定。。。

arfaWong

2016-09-17 17:24:22 +08:00

https://github.com/Neilpang/acme.sh
使用第八种方法 Automatic DNS API integration

sneezry

2016-09-17 17:28:58 +08:00 via Android

@yuhaaitao 那个网站只给你运行命令，不帮你生成 CSR ，任何帮你生成 CSR 的服务都能掌握你的私钥，从而对你的网站做中间人攻击，那个命令需要你自己在终端里运行。

huangtao728

2016-09-17 17:39:03 +08:00

@tension
这个怎么用？

yuhaaitao

2016-09-17 17:50:07 +08:00

@tension 泛域名好像很厉害

yuhaaitao

2016-09-17 17:51:46 +08:00

@sneezry
谢谢，我在网上找了个在线生成 crs 的，填上去就行了。
在线生成的会受到攻击吗？
证书更新了两次， crs 应该不变。

sneezry

2016-09-17 17:53:07 +08:00 via Android

@yuhaaitao 帮你生成 csr 的网站只是能够对你进行中间人攻击，但不代表他会这么做。

yuhaaitao

2016-09-17 17:58:16 +08:00

@sneezry 谢谢，便利就容易留下安全隐患。

tension

2016-09-17 18:00:06 +08:00

@huangtao728
@yuhaaitao

Gift-57c4253adefcd
Gift-57c4253ae148a
Gift-57c4253ae39a1
Gift-57c4253ae5c89
Gift-57c4253ae819e
Gift-57c4253aea409
Gift-57c4253aec8ce
Gift-57c4253aeeb47
Gift-57c4253af100a
Gift-57c4253af32c3

十个码。。。 =）

记得备份证书，这个不需要生成 CSR 的。直接配置即可。

sneezry

2016-09-17 18:07:41 +08:00 via Android

@yuhaaitao 是的， https://www.v2ex.com/t/302020#reply18

ovear

2016-09-17 18:18:47 +08:00

@tension 我擦？ starssl 支持免费泛域名？

yuhaaitao

2016-09-17 18:27:46 +08:00

@tension
多谢礼品码，也能体验泛域名证书了。

YK46PTT

2016-09-17 18:30:40 +08:00

Gift-57c4253aec8ce 已用。谢谢 @tension

crystom

2016-09-17 18:40:04 +08:00

@tension 用 chromebook 打开网站提示请使用 PC 端访问该网页，我的 ua 是 Mozilla/5.0 (X11; CrOS x86_64 8530.81.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.103 Safari/537.36,不过似乎覆盖 ua 也不行

huangtao728

2016-09-17 18:40:14 +08:00

@tension
感谢！
Gift-57c4253af32c3
已用~签发流程好快！