V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cquyf
V2EX  ›  SSL

Let's Encrypt 同一个域名,可以不同服务器上获取使用吗?

  •  
  •   cquyf · 2020-02-06 16:04:04 +08:00 · 5992 次点击
    这是一个创建于 1751 天前的主题,其中的信息可能已经有所发展或是发生改变。
    如服务器 A 获取使用 Let's Encrypt 的 SSL 了。现在想建 CDN 加速,在服务器 B 上重新绑定获取 Let's Encrypt 的证书。

    A 和 B 服务器上的 SSL 是否都能运行?且是否都能正常续期?
    25 条回复    2020-02-06 23:40:14 +08:00
    dot2017
        1
    dot2017  
       2020-02-06 16:07:29 +08:00
    用 A 的就行
    syuraking
        2
    syuraking  
       2020-02-06 16:08:15 +08:00
    SSL 只认域名 - - 其它的操作参考单域名和野卡域名操作就是了
    cquyf
        3
    cquyf  
    OP
       2020-02-06 16:09:37 +08:00
    @dot2017 拷贝过去?那自动更新如何解决?
    anguiao
        4
    anguiao  
       2020-02-06 16:09:48 +08:00 via Android
    你是想在 B 上面重新签发?那就是一个新证书了,不过是可以正常使用和续期,没影响的。
    但是你如果和我一样有强迫症的话,可以在 A 上面签发,然后自动同步到 B。
    dot2017
        5
    dot2017  
       2020-02-06 16:10:50 +08:00
    @cquyf 定时把 crt 和 pem 文件 scp 过去不就好了。。。
    cquyf
        6
    cquyf  
    OP
       2020-02-06 16:11:12 +08:00
    @syuraking 意思是随便获取了?都能正常运行?
    ershiwo
        7
    ershiwo  
       2020-02-06 16:22:25 +08:00   ❤️ 1
    A 上面签发,B 这边用 rsync + cron 定期自动同步,我已经这样用了四年。
    Xusually
        8
    Xusually  
       2020-02-06 16:25:28 +08:00
    @cquyf 可以,但是不推荐。你甚至可以在不同的 CA 去做同一个域名的多次签发,只要在有效期内,证书链都正常,没有 CA 主动吊销,你也没有主动选择 DNSCAA 记录的话,怎么用都行,多个证书的有效期可能都不一样,只要当前有效都可以用。
    另外,同上面一些朋友一样,我也是一台机器申请签发,同步到其他前端的。
    Tokin
        9
    Tokin  
       2020-02-06 16:27:52 +08:00
    A 和 B 完全可以独立签发呀,按道理可以正常使用和续签。
    A 签发的证书和 B 的证书互相独立的两个证书。
    stille
        10
    stille  
       2020-02-06 16:44:34 +08:00
    顺路问问 acme.sh 程序能生成 crt 格式证书么? 默认好像是 cer
    ETiV
        11
    ETiV  
       2020-02-06 16:48:50 +08:00 via iPhone
    没问题的。
    你再签发十个、一百个,第一个都不会作废
    citydog
        12
    citydog  
       2020-02-06 16:54:45 +08:00
    当然可以
    syuraking
        13
    syuraking  
       2020-02-06 17:05:33 +08:00
    @cquyf 对。一边签发后,同步到另一台即可
    alphatoad
        14
    alphatoad  
       2020-02-06 18:31:20 +08:00 via iPhone
    可以再申请,也可以拷贝,但我个人不赞同通过互联网传输私钥
    tia
        15
    tia  
       2020-02-06 18:34:40 +08:00
    证书不联网,只认本地的 crt 和 key
    gamexg
        16
    gamexg  
       2020-02-06 18:39:11 +08:00
    A、B 签发的都能用,互不影响
    但是机器如果太多小心碰到证书申请频率限制。
    Kaiyuan
        17
    Kaiyuan  
       2020-02-06 18:49:17 +08:00 via iPhone
    只要不是同一天多个服务器伸请应该没问题吧,我七八个机器,条个都单独伸请。
    ysc3839
        18
    ysc3839  
       2020-02-06 18:55:18 +08:00 via Android
    @stille 这只是后缀名不同吧?什么程序要 crt ?
    stille
        19
    stille  
       2020-02-06 20:41:41 +08:00 via iPhone
    @ysc3839 #18 没啥特殊非要 crt,只是之前太多 nginxconf 都是 crt,一个个改好麻烦……
    ysc3839
        20
    ysc3839  
       2020-02-06 20:49:21 +08:00 via Android
    @stille acme.sh 有把文件复制到指定位置的功能,可以设置文件名,设成 crt 就好了。
    Reficul
        21
    Reficul  
       2020-02-06 21:07:19 +08:00
    LetEncrpyt 一周能签 5 次证书,多了会失败。所以最好注意备份证书,不要经常没事重签。

    我删了几次容器之后,一周没有证书。。。。
    learningman
        22
    learningman  
       2020-02-06 21:24:09 +08:00
    @stille 都是 txt 其实。。。改个后缀就行吧
    uncat
        23
    uncat  
       2020-02-06 22:54:07 +08:00
    相关技术: Let's Encrypt dns01 challenge

    > A 和 B 服务器上的 SSL 是否都能运行?


    > 且是否都能正常续期?


    原理: 调用域名服务商 DNS 解析的 API. 通过添加临时的 DNS TXT 记录实现域名所有权的认证. 即:
    - A 和 B 服务器可以访问外网
    - 你们的域名提供 API 管理服务
    - ACME 客户端(比如: Lego)整合了你的域名服务商的 API 管理服务
    即可

    PS: Lego 整合了阿里云. DNSPod. Route53. 所以. 你需要的只是一个方案. 即 Lego
    uncat
        24
    uncat  
       2020-02-06 23:02:22 +08:00
    @syuraking wildcard domain : 通配符域名
    cquyf
        25
    cquyf  
    OP
       2020-02-06 23:40:14 +08:00
    @uncat 感谢大佬,我试了试,可以搞定。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2797 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 07:29 · PVG 15:29 · LAX 23:29 · JFK 02:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.