首頁 > 電腦教學 > Let’s Encrypt免費SSL正式開放測試版

Let’s Encrypt免費SSL正式開放測試版

笨笨包在前段時間測試過Let’s Encrypt所頒發的免費SSL證書,那時候的SSL證書必須申請之後才能核准,昨天Let’s Encrypt在Twitter正式公告開放Beta版,也就是說不需要申請,只要在自己的Server安裝客戶端,然後執行客戶端的指令即可為自己安裝SSL。

Let's Encrypt

不過雖然是正式公告開放Beta版,可是回到官網部落格中的訊息來看,最主要的內容是已經得到Facebook的贊助,成為最大的讚助夥伴。所以這年頭,還是錢比較實際…

Let’s Encrypt客戶端安裝方式

如果你有Linux作業系統就可以很容易且很方便的取得Let’s Encrypt免費SSL證書。

先將letsencrypt套件複製回本地:

git clone https://github.com/letsencrypt/letsencrypt

進入目錄

cd letsencrypt

這個指令可以看到全部的說明

./letsencrypt-auto --help

執行方式:

./letsencrypt-auto --網頁伺服器 -d 網址1 -d 網址2 -d 網址3

如果你要在證書內加入電子郵件或TOS,也可以加入 –email 和 –agree-tos 額外參數

./letsencrypt-auto certonly --網頁伺服器 --email [email protected]網址 -d 網址1 -d 網址2 -d 網址3

網頁伺服器目前支援 –apache、–nginx,也可以指定特別的目錄–standalone、–webroot、–manual

以下為笨笨包的nginx建立的daweitech.com 網站取得SSL的方式:

  1. 停止nginx,一定要停止nginx或其它監聽80 port的應用,因為證書的頒發會使用80 port這個通道
  2. 在letsencrypt目錄下執行:  ./letsencrypt-auto certonly –standalone –email [email protected] -d daweitech.com -d www.daweitech.com
  3. 當出現
    IMPORTANT NOTES:
    – Congratulations! Your certificate and chain have been saved at
    /etc/letsencrypt/live/daweitech.com/fullchain.pem. Your cert will
    expire on 2016-03-02. To obtain a new version of the certificate in
    the future, simply run Let’s Encrypt again.
    – If like Let’s Encrypt, please consider supporting our work by:Donating to ISRG / Let’s Encrypt:   https://letsencrypt.org/donate
    Donating to EFF:                    https://eff.org/donate-le
    就表示證書已經取得,大致的意思:存放位置為 /etc/letsencrypt/live/daweitech.com/fullchain.pem,證書於2016-03-02到期。如果需要renew,只要重新執行同樣的指令即可。
  4. 將存放的證書改個名字複製到網站相對應的目錄中
  5. 設定好nginx關於SSL之後,啟動nginx

這樣就取得證書了,至於如何安裝在apache或nginx伺服器,請自行Google。

目前SSL證書的有效期僅為3個月,也就是說每3個月都要重新renew一次,否則訪客瀏覽網站就會出現SSL證書過期的訊息。

目前笨笨包自行測試後所出現的問題有:

  1. 在Windows作業系統執行不方便,雖然有支援Python2.7,但是在Windows下操作真的很麻煩…
  2. 每3個月要renew一次也是不方便。不過只是一個指令,在cron上設定好自動就好了。
  3. 允許接受的網址只有example.com www、example.com、webmail.example.com、ldap.example.com,有些不足,畢竟第二層網址不一定只有www,還可以取其它的名字。
  4. 這個SSL證書只是很簡單的網頁加密功能,僅作為個人網站使用,不適合作為電子商務用途。
  5. 儘管有好幾個世界知名大公司的背書,就算是贊助商Mozilla最新版的Firefox 42.0也沒有將letsencrypt加入到根證書內,這樣和那些不合規定的野雞證書沒什麼兩樣。
    2015-12-08 經過測試,電腦版Firefox 42.0已經將Let’s Encrypt內建到Firefox根目錄內。
    不過,同樣的狀況也出現在台灣的行政院頒發的SSL證書,不存在於各類主流瀏覽器的根證書目錄內,也是屬於那種不合規定的野雞證書,就是自己規定自己頒發自己爽而已。
  6. 2015-12-08 自動頒發SSL證書,客戶端所在伺服器必須與網站同一個IP和伺服器,否則客戶端無法確認證書的真實性。這樣就很麻煩了,許多人用的虛擬主機都沒法申請,也沒辦法讓他人代為頒發證書!手動辦法笨笨包測試過後會再發一篇教學文章。

雖然有好幾個問題,但是仍舊要稱讚Let’s Encrypt所提供的服務,預計過不久後,http://這個網址開頭將會完全被https://所取代…

如果不懂安裝或沒有Linux系統,只要在底下留言,笨笨包可以代為取得證書再mail給你!

順便說,笨笨包的天空目前所用的SSL證書是在大陸淘寶上花了6.5元人民幣(約33元新台幣)購買的COMODO SSL。daweitech.com這個網址是笨笨包用來測試一些功能,以我兒子的名字中的一個字申請來的,只是個空網站。

2 留言

  1. 我想問一下,是不是只有cPanel後台,沒有Linux作業系統,是不能使用這個平台的憑證 ˊˇˋ?

    • 現在已經有cPanel商業套件,等等我再發篇適合你的文章。不過要是單純的虛擬主機,沒有提供SSH的話,基本上是無解。

發表留言

您的電子郵件地址將不會被公開標記為必填欄位 *

*

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料