為了獲得最大相容性,我想使用簡單的 DV PositiveSSL 證書,類似於 Let's Encrypt 的做法。
但最讓我頭痛的是我找不到任何可以在時間到來時自動更新的東西,例如 certbot/Let's Encrypt。
是否有任何其他 CLI/腳本選項可以自動續訂付費 SSL 證書,而無需我這樣做
- 貼到我的 CSR 檔案中
- 等待電子郵件確認
- 等待電子郵件以取得我的證書
- 貼上我的伺服器上的憑證檔案的內容
- 重新啟動阿帕契
Certbot 讓它變得如此美麗和簡單,但只能與 Let's Encrypt 一起使用(2016 年 9 月之後,它失去了與稍舊的瀏覽器/作業系統的許多相容性)。
答案1
但僅適用於 Let's Encrypt
不,那不是真的。儘管 LE 是 Certbot 的預設服務,但其他一些 CA 也實作了相同的 ACMEv2 發行協定。例如,我已經將其與 Sectigo OV 證書(今年早些時候有一個非常相似的交叉簽名問題)和 DigiCert OV 一起使用。
(您只需在Certbot 中指定不同的「--server」 URL,並在首次註冊ACME 帳戶時提供「--eab-hmac-key」以將其與該服務上的實際訂購帳戶關聯起來,這是一項功能專門添加供商業運營商使用。
這同樣適用於所有其他 ACMEv2 用戶端,而不僅僅是 Certbot。支援該協定的 CA 清單很短但非零,並且隨著瀏覽器最近推動越來越減少憑證生命週期(強調自動更新),它只會增長。
除了 ACME 之外,一些 CA 還提供較舊的 SCEP 協定以及自訂排序 API(DigiCert 已提供)二)。這些可能但僅限於批量/企業計劃,並且您將更難找到可用的客戶。