Let’s Encrypt免費SSL正式開放測試版
笨笨包在前段時間測試過Let’s Encrypt所頒發的免費SSL證書,那時候的SSL證書必須申請之後才能核准,昨天Let’s Encrypt在Twitter正式公告開放Beta版,也就是說不需要申請,只要在自己的Server安裝客戶端,然後執行客戶端的指令即可為自己安裝SSL。
不過雖然是正式公告開放Beta版,可是回到官網部落格中的訊息來看,最主要的內容是已經得到Facebook的贊助,成為最大的讚助夥伴。所以這年頭,還是錢比較實際…
Let’s Encrypt客戶端安裝方式
如果你有Linux作業系統就可以很容易且很方便的取得Let’s Encrypt免費SSL證書。
先將letsencrypt套件複製回本地:
git clone https://github.com/letsencrypt/letsencrypt
進入目錄
cd letsencrypt
這個指令可以看到全部的說明
./letsencrypt-auto --help
執行方式:
./letsencrypt-auto --網頁伺服器 -d 網址1 -d 網址2 -d 網址3
如果你要在證書內加入電子郵件或TOS,也可以加入 –email 和 –agree-tos 額外參數
./letsencrypt-auto certonly --網頁伺服器 --email [email protected]網址 -d 網址1 -d 網址2 -d 網址3
網頁伺服器目前支援 –apache、–nginx,也可以指定特別的目錄–standalone、–webroot、–manual
以下為笨笨包的nginx建立的daweitech.com 網站取得SSL的方式:
- 停止nginx,一定要停止nginx或其它監聽80 port的應用,因為證書的頒發會使用80 port這個通道
- 在letsencrypt目錄下執行: ./letsencrypt-auto certonly –standalone –email [email protected] -d daweitech.com -d www.daweitech.com
- 當出現
IMPORTANT NOTES:
– Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/daweitech.com/fullchain.pem. Your cert will
expire on 2016-03-02. To obtain a new version of the certificate in
the future, simply run Let’s Encrypt again.
– If like Let’s Encrypt, please consider supporting our work by:Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
就表示證書已經取得,大致的意思:存放位置為 /etc/letsencrypt/live/daweitech.com/fullchain.pem,證書於2016-03-02到期。如果需要renew,只要重新執行同樣的指令即可。 - 將存放的證書改個名字複製到網站相對應的目錄中
- 設定好nginx關於SSL之後,啟動nginx
這樣就取得證書了,至於如何安裝在apache或nginx伺服器,請自行Google。
目前SSL證書的有效期僅為3個月,也就是說每3個月都要重新renew一次,否則訪客瀏覽網站就會出現SSL證書過期的訊息。
目前笨笨包自行測試後所出現的問題有:
- 在Windows作業系統執行不方便,雖然有支援Python2.7,但是在Windows下操作真的很麻煩…
- 每3個月要renew一次也是不方便。不過只是一個指令,在cron上設定好自動就好了。
- 允許接受的網址只有example.com www、example.com、webmail.example.com、ldap.example.com,有些不足,畢竟第二層網址不一定只有www,還可以取其它的名字。
- 這個SSL證書只是很簡單的網頁加密功能,僅作為個人網站使用,不適合作為電子商務用途。
- 儘管有好幾個世界知名大公司的背書,就算是贊助商Mozilla最新版的Firefox 42.0也沒有將letsencrypt加入到根證書內,這樣和那些不合規定的野雞證書沒什麼兩樣。
2015-12-08 經過測試,電腦版Firefox 42.0已經將Let’s Encrypt內建到Firefox根目錄內。
不過,同樣的狀況也出現在台灣的行政院頒發的SSL證書,不存在於各類主流瀏覽器的根證書目錄內,也是屬於那種不合規定的野雞證書,就是自己規定自己頒發自己爽而已。 - 2015-12-08 自動頒發SSL證書,客戶端所在伺服器必須與網站同一個IP和伺服器,否則客戶端無法確認證書的真實性。這樣就很麻煩了,許多人用的虛擬主機都沒法申請,也沒辦法讓他人代為頒發證書!手動辦法笨笨包測試過後會再發一篇教學文章。
雖然有好幾個問題,但是仍舊要稱讚Let’s Encrypt所提供的服務,預計過不久後,http://這個網址開頭將會完全被https://所取代…
如果不懂安裝或沒有Linux系統,只要在底下留言,笨笨包可以代為取得證書再mail給你!
順便說,笨笨包的天空目前所用的SSL證書是在大陸淘寶上花了6.5元人民幣(約33元新台幣)購買的COMODO SSL。daweitech.com這個網址是笨笨包用來測試一些功能,以我兒子的名字中的一個字申請來的,只是個空網站。
我想問一下,是不是只有cPanel後台,沒有Linux作業系統,是不能使用這個平台的憑證 ˊˇˋ?
現在已經有cPanel商業套件,等等我再發篇適合你的文章。不過要是單純的虛擬主機,沒有提供SSH的話,基本上是無解。