%20%D0%B4%D0%BB%D1%8F%20%D0%BF%D0%BB%D0%B0%D1%82%D0%BD%D1%8B%D1%85%20SSL-%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82%D0%BE%D0%B2%3F%20.png)
Для максимальной совместимости я хочу использовать простые сертификаты DV PositiveSSL, подобные тем, что использует Let's Encrypt.
Но самая большая головная боль в том, что я не могу найти ничего, что автоматически обновлялось бы, когда приходит время, как certbot/Let's Encrypt.
Существуют ли другие варианты CLI/скрипта для автоматического продления платных SSL-сертификатов без моего участия?
- Вставить в мой файл CSR
- Ожидайте подтверждения по электронной почте
- Ждите письмо по электронной почте, чтобы получить сертификаты
- Вставьте содержимое файлов сертификата на моем сервере
- Перезагрузите апач
Certbot делает это очень просто и удобно, но работает только с Let's Encrypt (который после сентября 2016 года во многом утратил совместимость с немного устаревшими браузерами/операционными системами).
решение1
но работает только с Let's Encrypt
Нет, это неправда. Хотя LE — это служба Certbot по умолчанию, тот же протокол выдачи ACMEv2 был реализован несколькими другими CA. Например, я уже использовал его с сертификатами Sectigo OV (у которых в начале этого года была очень похожая проблема с перекрестной подписью) и с DigiCert OV.
(Вы просто указываете другой URL-адрес «--server» в Certbot, а при первой регистрации учетной записи ACME указываете «--eab-hmac-key» для ее связывания с вашей фактической учетной записью для заказа в этой службе — эта функция специально добавлена для использования коммерческими операторами.)
То же самое касается всех остальных клиентов ACMEv2, а не только Certbot. Список CA, поддерживающих этот протокол, короткий, но не нулевой, и с недавним стремлением браузеров все больше и больше сокращать срок действия сертификатов (уделяя особое внимание автоматизированным обновлениям), он, скорее всего, будет только расти.
Помимо ACME, некоторые центры сертификации также предлагают старый протокол SCEP, а также API для индивидуального заказа (DigiCert предлагаетдва). ЭтиможетОднако вы будете ограничены пакетами/корпоративными планами, и у вас возникнут трудности с поиском подходящих клиентов.