V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cnfczn
V2EX  ›  SSL

除了 Let's encrypt 还有其他的免费通配符证书么?

  •  
  •   cnfczn · 2020-07-13 22:33:01 +08:00 · 4326 次点击
    这是一个创建于 1594 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近 Let's encrypt 验证总是无法通过。不知道大家有没有其他选择...

    15 条回复    2021-09-21 11:13:14 +08:00
    mason961125
        1
    mason961125  
       2020-07-13 23:11:03 +08:00
    不如先找找失败的原因是什么?
    cnfczn
        2
    cnfczn  
    OP
       2020-07-13 23:30:46 +08:00
    @mason961125 此前发过一个帖子讨论过,有朋友回复说是 Let's encrypt 的验证服务器被屏蔽了.
    但是我这里返回的错误信息与网上写的并不太一样.
    DNS problem: SERVFAIL looking up TXT for _acme-challenge.x.com - the domain's nameservers may be malfunctioning
    而且不论是 dns 还是 webroot 都无法验证通过,上次证书续期还没有问题.所以不打算在这一个上面靠死..想看看大家有没有使用过其他证书.
    mason961125
        3
    mason961125  
       2020-07-14 00:05:10 +08:00
    @cnfczn #2 刚才去试了一下,用 acme.sh 的 DNS manual mode,你这个错误我一开始也遇到了,大概率是解析没生效,还有一种可能是,你分别添加了两条 TXT 记录,而不是在一个 TXT 记录里写两行,如果你写两个不同的_acme-challenge 的话,华为云那个 DNS 会默认帮你按权重负载均衡,所以不能在一次查询中找到两条记录。但是我改成一条记录写两行的模式之后,还是发生错误,DNS 查询请求超时或者 CAA 记录查询失败。支持 wildcard 的免费证书确实不多。如果不想换 DNS 解析商的话,确实我没找到除了 Let's Encrpyt 之外的免费证书。所以相对来看,换一家支持 DNS API mode 的解析商是个更好的选择,顺便也能完成自动化,至少我用阿里的 DNS 的之后都是用 API Key 来自动续期的。
    wsly47
        4
    wsly47  
       2020-07-14 01:46:32 +08:00
    https://sm.ms/image/MJgl1OLXoknAuFc
    https://sm.ms/image/KwzPDTIF8htlGLd

    我自己测试了一下签成功了,dig 也可以看到两条 txt 记录

    还不行的话 检查 CAA 记录是否正确或者直接删了它
    arischow
        5
    arischow  
       2020-07-14 02:05:34 +08:00 via iPhone
    CloudFlare API + acme.sh
    moxuanyuan
        6
    moxuanyuan  
       2020-07-14 02:10:35 +08:00
    最简单是 cloudflare 开启半程 SSL 模式吧。。。
    Windelight
        7
    Windelight  
       2020-07-14 02:27:54 +08:00 via Android
    Let's Encrypt 、CloudFlare 、AlphaSSL
    cnfczn
        8
    cnfczn  
    OP
       2020-07-14 21:05:01 +08:00   ❤️ 1
    @mason961125 感谢这位仁兄的耐心解答,此前我一直用阿里的服务器,dns 解析也是阿里的,后来到期换的华为.上次解析的时候还正常,这次就怎么也过不去了.
    刚才又试了下在没有被和谐的服务上更新证书也一样失败.而且 dig 能查询到 TXT 记录.
    上次更新证书的时候,我只用了一个_acme-challenge 条目,两次 TXT 记录都是先后更改的,验证失败两次第三次成功了.
    这次更新证书就不行了,已经把所有可以设置的方法都设置过了.包括 2 个_acme-challenge TXT 记录,或者 1 个_acme-challenge 里边 2 个 TXT 记录,添加 CAA 删除 CAA 等等各种姿势.
    cnfczn
        9
    cnfczn  
    OP
       2020-07-14 21:14:04 +08:00
    @wsly47 刚才按照你的思路也配置了一下,仍然失败.
    the domain's nameservers may be malfunctioning
    dig 能看到正确的 TXT 记录
    挺郁闷的,我打算换 dns 服务商试试了
    cnfczn
        10
    cnfczn  
    OP
       2020-07-14 21:49:21 +08:00
    @moxuanyuan 我也正在试,正在等 NS 变更
    cnfczn
        11
    cnfczn  
    OP
       2020-07-14 21:51:44 +08:00
    @arischow 刚开始弄 CloudFare,等 NS 变更以后再试试.
    我有个朋友用的某一键后台,自动更新 let's encrypt 证书,好像是 webroot 验证,据说也不太稳定,但是最后成功过了.
    这几种验证方式我都试过,都不成功...等 ns 变更后再试试
    cnfczn
        12
    cnfczn  
    OP
       2020-07-14 21:52:06 +08:00
    @Windelight ok,多谢仁兄..我先试试 cloudfare
    laozhoubuluo
        13
    laozhoubuluo  
       2020-07-15 10:56:57 +08:00
    验证不通过的原因是因为 Let's encrypt 的 OCSP 域名被 DNS 污染了。
    可以考虑在 hosts 文件配置如下指令,并开启服务器的 OCSP stapling 缓解此问题。

    ···
    # Let's encrypt OCSP Server
    23.52.0.145 ocsp.int-x3.letsencrypt.org
    2600:1406:3::b81c:bcb8 ocsp.int-x3.letsencrypt.org
    ···
    cnfczn
        14
    cnfczn  
    OP
       2020-07-17 19:02:52 +08:00
    @laozhoubuluo 我是在证书续期的时候出现的问题,certbot 日志里也没有 ocsp.int-x3.letsencrypt.org 的请求。
    刚才 ping 23.52.0.145 能 ping 通,返回结果就是 TXT 记录验证失败。。真是糟心啊。
    wewx
        15
    wewx  
       2021-09-21 11:13:14 +08:00 via iPhone
    digitcert……cn
    SSL 证书价格参考:

    单域名 21 元 /年
    通配符 248 元 /年
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1106 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 18:45 · PVG 02:45 · LAX 10:45 · JFK 13:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.