%20%E3%81%AE%E3%82%88%E3%81%86%E3%81%AA%E3%82%82%E3%81%AE%E3%81%AF%E3%81%82%E3%82%8A%E3%81%BE%E3%81%99%E3%81%8B%3F%20.png)
最大限の互換性を確保するために、Let's Encrypt と同様のシンプルな DV PositiveSSL 証明書を使用したいと思います。
しかし、最も厄介なのは、certbot/Let's Encrypt のように、期限が来たら自動的に更新されるものが見つからないことです。
有料SSL証明書を自動更新するための他のCLI/スクリプトオプションはありますか?
- CSRファイルに貼り付ける
- 確認メールをお待ちください
- 証明書を受け取るにはメールを待つ
- サーバー上の証明書ファイルの内容を貼り付けます
- Apacheを再起動する
Certbot はそれをとても素晴らしくシンプルにしてくれますが、Let's Encrypt でしか動作しません (Let's Encrypt は、2016 年 9 月以降、少し古いブラウザー/OS との互換性が大幅に失われます)。
答え1
ただし、Let's Encryptでのみ動作します
いいえ、そうではありません。LE は Certbot のデフォルト サービスですが、同じ ACMEv2 発行プロトコルが他のいくつかの CA によって実装されています。たとえば、私はすでに Sectigo OV 証明書 (今年初めに非常によく似たクロス署名の問題が発生しました) と DigiCert OV でこれを使用しています。
(Certbot で別の「--server」URL を指定し、ACME アカウントを初めて登録するときに、そのサービスの実際の注文アカウントに関連付けるための「--eab-hmac-key」を提供するだけです。これは、商業オペレーターが使用するために特別に追加された機能です。)
Certbot だけでなく、他のすべての ACMEv2 クライアントについても同様です。このプロトコルをサポートする CA のリストは短いですが、ゼロではありません。また、ブラウザによる証明書の有効期間の短縮 (自動更新の重視) が最近ますます進んでいるため、リストは増える一方です。
ACME以外にも、一部のCAは古いSCEPプロトコルとカスタムオーダーAPIも提供しています(DigiCertは二)。 これら5月ただし、バルク/エンタープライズ プランに限定されるため、使用可能なクライアントを見つけるのが難しくなります。