全球主机交流论坛

标题: SSL没一年了，又不想舔百度和UC，于是学习了acme certbot对比 [打印本页]

作者: squalll 时间: 2024-5-4 15:43
标题: SSL没一年了，又不想舔百度和UC，于是学习了acme certbot对比
本帖最后由 squalll 于 2024-5-4 15:46 编辑

昨天用服务器A研究了CERTBOT，但是发现，存在一些缺陷

今天用另一台服务器B学习了ACME.SH，并且进行了对比

发现CERTBOT还是差很多，主要体现在：

发现对比之下还是ACME.SH好用

CERTBOT毛病太多，还必须读取你的NGINX配置文件，还会未经你的同意修改（虽然是善意的，但是容易出BUG），最重要的是CERTBOT只支持UTF8的格式CONF，这样会和subs_filter替换文本插件冲突。。。

而且据说ACME.SH直接调用DNSPOD之类的，而CERTBOT竟然还需要第三方插件才能实现DNS验证（而且还分系统版本，乌班图、CNETOS什么的还不一样，CENTOS我竟然没找到对应的插件），没办法，全反代站没有本地路径

加了
location ^~ /.well-known/acme-challenge/ {
alias /www/server/nginx/html/.well-known/acme-challenge/;
try_files $uri =404;
}

，让CERTBOT读取CONF竟然不支持UTF8，而转成UTF8后我的SUBS_FILTER插件就对中文失效了，所幸第二胎改成ACME.SH

ACME.SH原理就简单多了，验证，然后问你把证书文件自动拷贝到哪里（NGINX调用证书路径），就完事了，还自动帮你加了定时续期任务，而CERTBOT网上教程说看看有没有，没有任务自己加，结果就没有任务，只好手动加CERTBOT定时任务。

昨天GPT死活非让我用CERTBOT，告诉我这比ACME.SH简单得多，是做好用的自动程序，昨天我还真信了。

最重要的还是，CERTBOT读取CONF并修改CONF这种方式虽然更智能自动化，但是毛病多，而ACME.SH不改你的CONF，但是原理是一通直达。

作者: Fightlee 时间: 2024-5-4 15:47
30买个alphassl得野卡么算了

作者: louiejordan 时间: 2024-5-4 15:48

Fightlee 发表于 2024-5-4 15:47
30买个alphassl得野卡么算了

一个SSL还要花钱我是想不通

作者: Senio 时间: 2024-5-4 15:57
CERTBOT扩展性强更灵活
ACME.SH适合一键
看你要怎么干准备怎么实现其实两个都挺好

作者: squalll 时间: 2024-5-4 16:05

Senio 发表于 2024-5-4 15:57
CERTBOT扩展性强更灵活
ACME.SH适合一键
看你要怎么干准备怎么实现其实两个都挺好 ...

gpt完全给我说反了。说cert简单快速一键。

可能拓展性强，但是太容易出小问题了。

还说acme简单

作者: acm 时间: 2024-5-4 16:13
cloudflare cdnfly goedge这些CDN不都能自动续签

作者: 机长 时间: 2024-5-4 16:26
UC挺好用，不知道能坚持多久。

作者: netsky 时间: 2024-5-4 16:31

#!/bin/bash
# Step 1: Extract domain names and generate SSL certificates
for file in /www/server/panel/vhost/nginx/*.conf; do
if [[ $file == *".plus"* || $file == *".org"* || $file == *".com"* || $file == *".sd"* ]]; then
domain=$(basename "$file" .conf)
# Issue SSL certificate
if ./acme.sh --issue --dns dns_cf -d $domain --nginx; then
# If certificate issuance is successful, install the certificate
./acme.sh --installcert -d $domain --ecc --key-file /www/server/panel/vhost/cert/$domain/privkey.pem --fullchain-file /www/server/panel/vhost/cert/$domain/fullchain.pem
else
echo "Failed to issue certificate for domain $domain. Skipping installation."
fi
fi
done

复制代码

刚刚用gpt写了一个不知道有没有更好的

作者: 笑花落半世琉璃 时间: 2024-5-4 17:18

louiejordan 发表于 2024-5-4 15:48
一个SSL还要花钱我是想不通

比如像那些前端设计的一个域名几百个子域名对外演示站，自动化万一没续上，弹不安全吓跑几个中小企业客户得不偿失

作者: squalll 时间: 2024-5-4 20:36

笑花落半世琉璃发表于 2024-5-4 17:18
比如像那些前端设计的一个域名几百个子域名对外演示站，自动化万一没续上，弹不安全吓跑几个中小企业客户 ...

这种肯定要花钱的

作者: 万亩斜阳 时间: 2024-5-4 20:50
本帖最后由万亩斜阳于 2024-5-4 20:52 编辑

同样，不过，我是因为这两家还都没有实名过账号。不想为了这个，浪费个名额。
而且不知道什么时候也要改3月期。
所以今天凌晨花时间，总结了一遍acme的详细使用过程。

作者: justfkqq 时间: 2024-5-4 21:04

Fightlee 发表于 2024-5-4 15:47
30买个alphassl得野卡么算了

我也是弄的这个，好多个子域名，一个一个申请很麻烦，一年30，通配符，省事多了

作者: squalll 时间: 2024-5-5 00:36

万亩斜阳发表于 2024-5-4 20:50
同样，不过，我是因为这两家还都没有实名过账号。不想为了这个，浪费个名额。
而且不知道什么时候也要改3月 ...

其实会了以后就几分钟搞定哈

作者: yixin82 时间: 2024-5-5 00:55

justfkqq 发表于 2024-5-4 21:04
我也是弄的这个，好多个子域名，一个一个申请很麻烦，一年30，通配符，省事多了 ...

免费的lets不是说也有通配符了吗

作者: 万亩斜阳 时间: 2024-5-5 01:02

yixin82 发表于 2024-5-5 00:55
免费的lets不是说也有通配符了吗

免费的是3个月的。
不嫌每3个月手动更换证书麻烦，可以。
否则就要acme这种工具，自动化更新。
但有些场合，例如cdn，很难这种自动化更新。

作者: ceplavia 时间: 2024-5-5 08:37
caddy笑出声

欢迎光临全球主机交流论坛 (https://443502.xyz/)