玩玩就好了,Let’s Encrypt现在继续使用没有问题

参考:使用acme.sh申请ZeroSSL泛域名证书,Let’s Encrypt替代品

ZeroSSL官网:https://zerossl.com/

acme.sh项目地址:https://github.com/acmesh-official/acme.sh

免费证书我之前只知道阿里云上单域名1年的免费证书,Let’s Encrypt的泛域名3个月证书,没想到还有ZeroSSL、BuyPass等免费证书办法机构。

我之前在某主机论坛上了解到Let’s Encrypt今年来将中间CA证书更为为R3了(之前是X3)。中间证书替换为R3据说解决了由于Let's Encrypt证书的OCSP验证域名由于未知原因无法访问引发的部分浏览器访问网站缓慢问题。

ISRG Certificate Hierarchy Diagram, as of December 2020

那么保不准它下次又出问题,zerossl完美可以替换Let's Encrypt,具有以下优势:

  • 1、支持泛域名证书
  • 2、证书有效期三个月
  • 3、没有速率限制,不存在同一IP多次申请SSL证书被限制的问题
  • 4、支持web界面创建证书和后台管理证书
  • 5、acme已经支持zerossl证书
image-20210614130203216

当然,zerossl需要注册账号,不过只需要一个邮箱就可以了。

web页面创建证书就不演示了,直接使用acme脚本来生成证书试下

一、注册zerossl账号

官网注册即可

image-20210614130654573

二、docker启动acme容器

[root@ubuntu ~]$ docker run --rm -it -v /opt/acme:/acme.sh neilpang/acme.sh:latest sh

三、设置acme.sh server为ZeroSSL

/ # acme.sh --set-default-ca  --server zerossl

四、关联ZeroSSL账号

acme.sh  --register-account  -m [email protected] --server zerossl

五、颁发证书

然后就是使用各大云厂商的API去生成泛域名证书了,这一步没有变化

具体每个厂商的API怎么配合acme.sh使用可以参考dnsapi

/ # export CF_Key="4***************************5"
/ # export CF_Email="[email protected]"
/ # acme.sh acme.sh  --issue -d uscwifi.xyz -d '*.uscwifi.xyz' --dns dns_cf

六、使用效果

和之前没啥不一样的地方,只是证书链变了下:

  • Let's Encrypt

    image-20210614132549120

  • ZeroSSL

    image-20210614132933403

  • ZeroSSLweb页面管理证书:

    image-20210614133133165

总结:

acme.sh生成证书默认使用的Let's Encrypt,使用zerossl的话只是多一步注册zerossl账户和设置acme.sh server这一步,其他没有区别。zerossl证书和Let's Encrypt效果完全一致,完美替换。那么使用哪个更好呢?就目前的情况,因为Let's Encrypt已经更换了中间CA 证书,不存在OCSP超时问题了,所以完全可以继续使用,不用去折腾ZeroSSL。