關於各家 ACME client (或者說 Let’s Encrypt client?) – Gea-Suan Lin's BLOG
source link: https://blog.gslin.org/archives/2021/08/22/10288/%e9%97%9c%e6%96%bc%e5%90%84%e5%ae%b6-acme-client-%e6%88%96%e8%80%85%e8%aa%aa-lets-encrypt-client%ef%bc%9f/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
關於各家 ACME client (或者說 Let's Encrypt client?)
在「Another free CA as an alternative to Let's Encrypt (scotthelme.co.uk)」這邊引用的文章本來在討論又多了一家免費的 SSL certificate 可以用,但結果討論的主力都在講除了 Certbot 外還有什麼比較好用...
大家之所以厭惡 Certbot,先不講他需要依賴一堆 Python 的套件包,最主要的問題在於現在 Certbot 官方建議的指引裡面都要求你裝 Snap,而 Snap 這東西超級吃資源...
既然是資源問題,裡面可以看到 Dehydrated 又被拿出來推薦了,另外也有提到 acme.sh,不過我個人不太愛 acme.sh,主要是預設值跑去用 ZeroSSL 的 CA。
這種單檔就可以跑的很適合包進像是 Ansible 這類的管理工具,至少目前用起來沒什麼大問題...
Related
ZeroSSL 也提供免費的 SSL Certificate (DV) 了
在 Facebook 上被朋友敲可以測 ZeroSSL,另外一個透過 ACME 協定提供免費的 SSL Certificate,不過目前只有支援單一網域名稱 (DV):「Another free CA as an alternative to Let's Encrypt (scotthelme.co.uk)」。 我先前就有在測 ZeroSSL,不過驗證一直過不去,當時有在 Twitter 上找 ZeroSSL 帳號問,但 ZeroSSL 的人說 ACME 的部份不在客服範圍,就先丟著... 剛剛發現是自己耍笨了,原因是 nginx 沒設好造成驗證卡住,一改好後就正常了。 用 SSL Labs 的 SSL Server Test 翻了一下,他的 Root CA 看起來歷史更久,應該是有機會解決 Let's Encrypt 明年會產生的 Root CA 憑證信任問題,也就是先前在「Let's Encrypt 在…
November 24, 2020In "Computer"
Dehydrated 使用 ZeroSSL 的方式
上一篇「ZeroSSL 也提供免費的 SSL Certificate (DV) 了」提到 ZeroSSL 的服務,而各家 acme client 也都陸陸續續支援了。 Dehydrated 是在 2020/09/15 的時候實做:「EAB + ZeroSSL support」,我就抓了個新版,更新之前自己包的 PPA dehydrated-lite... Dehydrated 的設定方式還蠻簡單的,在 /etc/dehydrated/config 裡面這樣寫: CA=zerossl EAB_HMAC_KEY=x EAB_KID=y 其中兩個 EAB 的資訊可以在 ZeroSSL 網站上面取得,然後其他就照舊跑...
November 24, 2020In "Computer"
讓 OpenLDAP 伺服器使用 Let's Encrypt 簽的憑證
OpenLDAP 伺服器可以吃 Let's Encrypt 發的憑證以提供 LDAPS 服務,只是 SSL 設定方法跟其他軟體不太一樣,第一次設會花不少時間... 這邊的檔案目錄是以 Dehydrated 申請 Let's Encrypt 的憑證來設定。官方推薦的 Certbot 應該也有類似的檔案: TLSCACertificateFile /etc/dehydrated/certs/x.y.z/chain.pem TLSCertificateFile /etc/dehydrated/certs/x.y.z/cert.pem TLSCertificateKeyFile /etc/dehydrated/certs/x.y.z/privkey.pem 這樣不管 Let's Encrypt 拿 Let’s Encrypt Authority X3 (目前的主力憑證) 還是 Let’s Encrypt Authority X4 (備用的憑證) 簽,OpenLDAP 這邊才會串出正確的 certficiate chain。(用 OpenSSL 的 s_client -connect x.y.z:636 與 ldapsearch 測過)…
October 8, 2018In "Computer"
Author Gea-Suan LinPosted on August 22, 2021Categories Computer, Murmuring, Network, Privacy, Security, Service, SoftwareTags acme, acme.sh, authority, ca, cert, certbot, certificate, client, dehydrated, free, letsencrypt, privacy, security, sh, snap, ssl, tls, zerossl Leave a Reply Cancel reply
Your email address will not be published. Required fields are marked *
Comment
Name *
Email *
Website
Notify me of follow-up comments by email.
Notify me of new posts by email.
Post navigation
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK