227个回应

  1. 千亿网站
    2018年12月5日

    虚拟主机怎么设置SSL啊?

    回复

  2. 叶子
    2017年06月6日

    请教一下,签到的证书是www.XX.com,如何让另外的二级域名如y.xx.com也能正常显示?现在二级域名显示不安全,chrome不能直接访问

    回复

  3. wkl17
    2017年02月27日

    CDN站点是不是搞不了?因为证书自动签发工具在签发过程中会生成验证内容,但会返回400错误。可惜了,StartSSL不被Safari和Chrome认可。是否还有被主流 浏览器所认可的FreeSSL?

    qi 回复:

    @wkl17, 使用CDN的网站先把CDN关闭了就正常了。不过,后续启用CDN的话,你需要找一个支持上传SSL的CDN。你用的是付费的CDN的话,一般是支持的。

    回复

  4. Aimer
    2017年02月1日

    问题已经解决了,用的是Certbot,我把我的方法贴一下:
    首先要说明一下几点:
    1.存在一个已经建立的虚拟主机
    2.我用的是oneinstack
    3.Python的版本是2.7以下(如果是2.7以上SSL证书会自动安装,不用手动的)
    4.使用Certbot脚本
    ————-分界线————————————–
    过程:
    1.去Certbot的官网找到与web环境相应的脚本(官网qi姐已经贴出来了)
    2.按照官网的步骤来:(这是CentOS6 ,Nginx的脚本,不要直接复制哦,要按照自己的情况来)
    # wget https://dl.eff.org/certbot-auto
    # chmod a+x certbot-auto
    $ ./certbot-auto
    ——————-分界线———————–
    然后Python版本低于2.7的服务器就会出现问题了
    Certbot会报错,代码如下:
    Installing Python packages…
    Installation succeeded.
    /root/.local/share/letsencrypt/lib/python2.6/site-packages/cryptography/__init__.py:26: DeprecationWarning: Python 2.6 is no longer supported by the Python core team, please upgrade your Python. A future version of cryptography will drop support for Python 2.6
    DeprecationWarning
    Saving debug log to /var/log/letsencrypt/letsencrypt.log
    Failed to find apachectl in PATH: /usr/local/nginx/sbin:/usr/local/php/bin:/usr/local/mysql/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin
    /root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/main.py:568: DeprecationWarning: BaseException.message has been deprecated as of Python 2.6
    return e.message
    Certbot doesn’t know how to automatically configure the web server on this system. However, it can still get a certificate for you. Please run “certbot-auto certonly” to do so. You’ll need to manually configure your web server to use the resulting certificate.
    ——————-分界线————————–
    我们不用管它,因为他说了,你可以手动安装SSL,那我们就手动安装
    ——————-分界线——————————
    输入命令:
    # ./certbot-auto certonly
    然后它依旧会报错,那我们依旧不管他
    继续进行命令,因为我们是手动配置
    ——————–分界线——————————–
    再输入上面的命令以后,会出现选项,一个是独立服务器,一个是web服务
    我们选择1,web服务
    它会要求我们输入email(可以不输入),那我们输入email
    ———————–分界线—————————–
    接下来它会要求我们输入域名
    输入域名
    ————————分界线—————————
    然后它会要求我们给出域名所在的根目录
    用的oneinstack的话就输入
    /data/wwwroot/你的域名
    ————————-分界线———————–
    返回如下代码,获得SSL 证书:
    IMPORTANT NOTES:
    – Congratulations! Your certificate and chain have been saved at
    /etc/letsencrypt/live/ex.acgbuster.com/fullchain.pem. Your cert
    will expire on 2017-05-02. To obtain a new or tweaked version of
    this certificate in the future, simply run certbot-auto again. To
    non-interactively renew *all* of your certificates, run
    “certbot-auto renew”
    – If you like Certbot, please consider supporting our work by:

    Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
    Donating to EFF:
    ————————–分界线——————————-
    然后就根据qi姐说的,替换Nginx的SSL的位置
    重启Nginx就OK了

    注:我没有尝试给证书续期,我输入
    ./certbot-auto renew 命令时它提醒我,证书的due还没有到,不用续期,但是我发现,它告诉我Python的版本不支持脚本,所以我并不知道续命能否成功
    —————分界线——————————
    如果看不明白的话可以看看原文:
    https://www.qxdnbgxb.cn/archives/45

    最后求qi姐教一下怎么升级Python的版本啊QAQ

    妄想7研究所 回复:

    @Aimer, 只能从官网下载然后手动安装吧【笑哭】

    Aimer 回复:

    @妄想7研究所, 真的吗……我Python的版本低,你不要骗我哦(滑稽)

    qi 回复:

    @Aimer, 不升级不影响续期SSL的。一般是SSL快到期的一个月内执行续期就可以成功了。升级Python也不复杂,需要到官网下载新的包然后重新编译。

    回复

  5. Aimer
    2017年01月29日

    说一下我遇到的问题在输入运行命令./letsencrypt.sh letsencrypt.conf以后返回:
    Generating RSA private key, 4096 bit long modulus
    …………………………++
    ……….++
    e is 65537 (0x10001)
    Generate domain key…
    Generating RSA private key, 2048 bit long modulus
    …………+++
    …+++
    e is 65537 (0x10001)
    Generate CSR…www.csr
    Traceback (most recent call last):
    File “/tmp/acme_tiny.py”, line 2, in
    import argparse, subprocess, json, os, sys, base64, binascii, time, hashlib, re, copy, textwrap, logging
    ImportError: No module named argparse

    回复

  6. Aimer
    2017年01月29日

    提醒一下qi姐,这个链接失效了http://img.acgbuster.com/images/2017/01/29/53134646ed7157687666f480d80d7111.png
    然后我想问一下,那个脚本现在还能用吗?我也是用的oneinstack

    回复

  7. qiuyming
    2017年01月26日

    经测试,阿里云DNS安装let’s encrypt不会报错

    qi 回复:

    @qiuyming, 以前会报错,现在国内的DNS都可以了。而且现在Lets的证书的安装方法也不一样了,官方提供了更简单的安装工具,几个命令就可以安装好了。

    回复

  8. 盒子小栈
    2016年12月5日

    您是用军哥的一键包还是用oneinstack呢?

    qi 回复:

    @盒子小栈, 用的oneinstack,之前用的是LNMP,但是还是没有oneinstack好。

    回复

  9. 王麻子
    2016年11月30日

    我有个问题 我没有域名 只是在本地测试 还能绑定ssl证书吗 我在做一个公司内部的管理系统 一般走的是内网 但是对安全级别要求比较高 需要https 请问 没有域名已绑https吗

    qi 回复:

    @王麻子, 没有域名是不行的,SSL是需要域名来申请的。不过,如果你自己走的内网的话,你完全可以在服务器直接生成SSL证书,这样直接使用IP就可以访问。安全性是可以保证的,但是由于是自己生成的SSL证书,浏览器可能会报不受信任,还需要浏览器作一番调试即可。

    回复

  10. yooujiao
    2016年11月7日

    那算了,不用红帽的9822金沙平台了

    回复

  11. yooujiao
    2016年11月7日

    我已经获得证书了,如果安装到openshift9822金沙平台上啊

    qi 回复:

    @yooujiao, openshift免费用户不支持安装自己的SSL证书。

    回复

  12. 一九五网
    2016年11月7日

    直接执行三、利用脚本快速获取Let’s Encrypt SSL证书,如何知道Let’s Encrypt免费SSL证书保存位置,我用阿里云官方的aliyun linux系统

    qi 回复:

    @一九五网, 保存在“/etc/letsencrypt/live/根域名/” 目录下

    一九五网 回复:

    @qi, 已经成功申请,就是不知道怎么自动更新

    qi 回复:

    @一九五网, 更新不用担心,这里有一个官方的教程可以看看,只需要一个命令,根据你的VPS的系统来选择:https://certbot.eff.org/

    回复

  13. 一九五网
    2016年11月6日

    管理员,按照按照本文的方法来安装,不成功,是不是和DNS有关呢?

    qi 回复:

    @一九五网, 这个要看提示什么错误?现在来说DNSPOD已经不存在DNS验证不成功的问题了。

    回复

  14. yooujiao
    2016年11月6日

    站长,怎么在线生成证书啊

    qi 回复:

    @yooujiao, 试试这个:https://www.sslforfree.com/,可以直接在线生成SSL证书。

    回复

  15. yooujiao
    2016年11月6日

    如何将Let’s Encrypt安装在redhat openshift9822金沙平台上啊,站长你上面的代码我在xshell连接工具上执行都没用啊!

    qi 回复:

    @yooujiao, 恐怕无法像在VPS上安装Let’s Encrypt成功。你可以采取在线生成Let’s Encrypt的SSL证书,然后再进入到Nginx修改配置文件,redhat openshift的Shell权限有限。

    回复

  16. 一九五网
    2016年11月4日

    请问,我用阿里云的aliyun linux系统要怎么设置Let’s Encrypt

    qi 回复:

    @一九五网, SSL证书和阿里云没有关系,只要是VPS就可以按照本文的方法来安装了。

    回复

  17. baiduissb
    2016年10月28日

    配置好了, 但是间歇性的打不开

    chrome出现提示

    无法访问此网站

    http://www.xxx.com 拒绝了我们的连接请求。

    这该如何解决, xp系统, win7貌似无此问题, 但是博主的网站就不会出现这个问题 麻烦帮忙看看

    qi 回复:

    @baiduissb, 打不开查一下是不是9822金沙平台的问题?这个应该和证书没有关系。

    baiduissb 回复:

    @qi, https://www.ssllabs.com/ 默认装好用这个测试只有B级别, 哪里还需要设置啊, 才能达到A+ 求指教

    qi 回复:

    @baiduissb, 检测时会有红色字体提示,好像是时间设置的问题,你可以贴出你的检测结果。

    baiduissb 回复:

    @qi, 博主你好 结果如下:
    Cipher Suites (SSL 3+ suites in server-preferred order; deprecated and SSL 2 suites at the end)
    TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1 (eq. 3072 bits RSA) FS 256
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1 (eq. 3072 bits RSA) FS 128
    TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x9f) DH 1024 bits FS WEAK 256
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x9e) DH 1024 bits FS WEAK 128
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH secp256r1 (eq. 3072 bits RSA) FS 256
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH secp256r1 (eq. 3072 bits RSA) FS 256
    TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x6b) DH 1024 bits FS WEAK 256
    TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) DH 1024 bits FS WEAK

    DROWN (experimental) No, server keys and hostname not seen elsewhere with SSLv2
    (1) For a better understanding of this test, please read this longer explanation
    (2) Key usage data kindly provided by the Censys network search engine; original DROWN test here
    (3) Censys data is only indicative of possible key and certificate reuse; possibly out-of-date and not complete
    Secure Renegotiation Supported
    Secure Client-Initiated Renegotiation No
    Insecure Client-Initiated Renegotiation No
    BEAST attack Not mitigated server-side (more info) TLS 1.0: 0xc014
    POODLE (SSLv3) No, SSL 3 not supported (more info)
    POODLE (TLS) No (more info)
    Downgrade attack prevention Yes, TLS_FALLBACK_SCSV supported (more info)
    SSL/TLS compression No
    RC4 No
    Heartbeat (extension) Yes
    Heartbleed (vulnerability) No (more info)
    OpenSSL CCS vuln. (CVE-2014-0224) No (more info)
    OpenSSL Padding Oracle vuln.
    (CVE-2016-2107) No (more info)
    Forward Secrecy Weak key exchange WEAK
    ALPN No
    NPN Yes http/1.1
    Session resumption (caching) Yes
    Session resumption (tickets) Yes
    OCSP stapling Yes
    Strict Transport Security (HSTS) No
    HSTS Preloading Not in: Chrome Edge Firefox IE
    Public Key Pinning (HPKP) No
    Public Key Pinning Report-Only No
    Long handshake intolerance No
    TLS extension intolerance No
    TLS version intolerance No
    Incorrect SNI alerts No
    Uses common DH primes Yes Replace with custom DH parameters if possible (more info)
    DH public server param (Ys) reuse No
    SSL 2 handshake compatibility Yes

    还有就是排版错乱, 显示不正常, 请帮我看看这是什么问题, 网站51daogouwang.com

    qi 回复:

    @baiduissb, 看了一下主要是 Weak Diffie-Hellman的问题,可以参考这篇文章来解决:https://www.peterdavehello.org/2015/10/build-an-a-plus-best-practice-https-web-server-via-nginx-chinese-version/

    baiduissb 回复:

    @qi, 感谢博主, 现在A了, 但是还有一些问题, 这两项
    ALPN No
    NPN Yes http/1.1
    无法开启http2
    还有不少 Server sent fatal alert: handshake_failure
    我看了你的站点 这些几乎没有
    这是为何呢, 还有哪些地方需要配置吗

    对了还有一个为什么排版会错乱, 和主题有关系吗

    qi 回复:

    @baiduissb, 排版错乱,那是因为CSS没有加载出来,你查一下是不是CSS没有使用https.你的网站打开速度也是蛮慢的。

    baiduissb 回复:

    @qi, 是啊 非常慢 这个速度要怎么优化啊 css没加载要怎么弄, 全站替换链接为https吗

    qi 回复:

    @baiduissb, 是的,你的主机如果是使用的国外的话可以使用国内的CDN加速,将JS还有CSS等文件放在国内,这样打开速度会加快不少。

    回复

  18. luoli
    2016年10月19日

    用快速脚本获取的 是几个crt文件 和一个 交叉 pem
    应该用哪两个文件添加到nginx,conf ?

    qi 回复:

    @luoli, 看看下载下来的crt脚本的命名,是不是有域名.crt,还有root.crt?有的话,就要合并 ,否则直接使用域名.crt和pem就可以了。

    回复

  19. MingS
    2016年10月12日

    博主我的证书安装好了,电脑上也有小绿锁,手机访问提示证书过期或不安全,什么问题呢,感谢。

    qi 回复:

    @MingS, 是哪个证书?如果是本文的Let’s Encrypt,应该不会出现这样的问题。另外,你是通过什么方式获取的SSL证书?

    回复

  20. baiduissb
    2016年08月30日

    对了 系统版本是CentOS release 6.4 (Final) 32bit

    回复

  21. baiduissb
    2016年08月30日

    博主你好, https://certbot.eff.org/ 根据这个步骤来 , 到这里./certbot-auto 执行完毕出现以下错误提示, 要如何解决呢?
    Creating virtual environment...
    Installing Python packages...
    Installation succeeded.
    /root/.local/share/letsencrypt/lib/python2.6/site-packages/cryptography/__init__.py:26: DeprecationWarning: Python 2.6 is no longer supported by the Python core team, please upgrade your Python. A future version of cryptography will drop support for Python 2.6
    DeprecationWarning
    Version: 1.1-20080819
    Version: 1.1-20080819
    /root/.local/share/letsencrypt/lib/python2.6/site-packages/certbot/main.py:496: DeprecationWarning: BaseException.message has been deprecated as of Python 2.6
    return e.message
    No installers are available on your OS yet; try running "letsencrypt-auto certonly" to get a cert you can install manually

    qi 回复:

    @baiduissb, 试试:sudo yum install epel-release,或者升级:Python 2.7 看看。

    回复

  22. 外星人源码论坛
    2016年08月17日

    Installing Python packages…

    安装的时候卡在这里不动了 怎么办???

    qi 回复:

    @外星人源码论坛, Python源是不是没有更新?在安装前可以先更新一下源。

    回复

  23. Chilsion
    2016年07月18日

    现在出现的问题是这个,请问知道怎么解决吗?
    Generate CSR…onqc.csr
    Parsing account key…
    Parsing CSR…
    Registering account…
    Already registered!
    Verifying http://www.onqc.com...
    Traceback (most recent call last):
    File “/tmp/acme_tiny.py”, line 198, in
    main(sys.argv[1:])
    File “/tmp/acme_tiny.py”, line 194, in main
    signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca)
    File “/tmp/acme_tiny.py”, line 104, in get_crt
    raise ValueError(“Error requesting challenges: {0} {1}”.format(code, result))
    ValueError: Error requesting challenges: 500 {
    “type”: “urn:acme:error:serverInternal”,
    “detail”: “Error creating new authz”,
    “status”: 500
    }

    qi 回复:

    @Chilsion, 这应该是代码与你的VPS有问题,现在官方推荐了新的方法,比这个简单,一键安装:https://certbot.eff.org/

    Chilsion 回复:

    @qi, 恩,按照官方最新的方法安装成功了,原来是我系统的问题,我的系统是CentOS7.2,网络上原来的方法和代码并不适用CentOS7.2。现在出现最新的问题,就是成功启用https后,https可以打开网页,原先的http不可以打开网页了,我用的军哥LNMP,Nginx,请问怎么解决,谢谢。

    qi 回复:

    @Chilsion, 应该是Nginx配置的问题,你看看http的80端口配置那一块有没有?

    Chilsion 回复:

    @qi, 恩,上面那个问题我解决了,只是配置好以后不像你的似得是个绿锁,我的是灰色的,这是什么情况????

    qi 回复:

    @Chilsion, 这个是因为有引用的图片等用的是非https的,你可以检查一下,改成https的就行了。

    Chilsion 回复:

    @qi, 恩,找到问题了,成功启动小绿锁,谢谢。

    回复

  24. Chilsion
    2016年07月18日

    哦知道了,是修改letsencrypt.conf

    回复

  25. Chilsion
    2016年07月18日

    [img]https://o903xqe5h.qnssl.com/news/wp-content/uploads/2015/12/Lets-Encrypt_07.gif[/img]
    这个界面怎么打出来的?我怎么打不出来?对下面这一步不明白,我明白是修改这些数据,但是你图片里那个不知道怎么打出来的。3、配置文件。只需要修改 DOMAIN_KEY DOMAIN_DIR DOMAINS 为你自己的信息

    ACCOUNT_KEY=”letsencrypt-account.key”
    DOMAIN_KEY=”freehao123.com.key”
    DOMAIN_DIR=”/var/www/freehao123.com”
    DOMAINS=”DNS:freehao123.com,DNS:www.freehao123.com”

    回复

  26. 日光网
    2016年07月12日

    博主好,当时申请的时候没有注意留下邮箱和密码,3个月以后怎么续期啊?

    qi 回复:

    @日光网, 这个续期不用邮箱,你只需要重新操作一遍获取新的SSL证书就好了。或者直接执行命令:./path/to/certbot-auto renew –dry-run。具体的可以参考新的命令:https://certbot.eff.org/

    日光网 回复:

    @qi,好的 谢谢!

    回复

  27. Qa
    2016年07月11日

    我尝试了下这个脚本,报错了。
    这错误该怎么解决,PY还是很久以前装的。
    [[email protected] letssl]# ./letsencrypt.sh letsencrypt.conf
    Generate CSR…acg18.csr
    Traceback (most recent call last):
    File “/tmp/acme_tiny.py”, line 2, in
    import argparse, subprocess, json, os, sys, base64, binascii, time, hashlib, re, copy, textwrap, logging
    ImportError: No module named argparse

    Qa 回复:

    @Qa, 安装了下环境,又报错400.是传说中的域名问题么。
    Generate CSR…acg18.csr
    Parsing account key…
    Parsing CSR…
    Registering account…
    Already registered!
    Verifying acg18…
    Traceback (most recent call last):
    File “/tmp/acme_tiny.py”, line 198, in
    main(sys.argv[1:])
    File “/tmp/acme_tiny.py”, line 194, in main
    signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca)
    File “/tmp/acme_tiny.py”, line 104, in get_crt
    raise ValueError(“Error requesting challenges: {0} {1}”.format(code, result))
    ValueError: Error requesting challenges: 400 {
    “type”: “urn:acme:error:malformed”,
    “detail”: “Error creating new authz :: DNS name does not have enough labels”,
    “status”: 400
    }

    Qa 回复:

    @Qa, 经过仔细的检查发现是 配置文件的域名填写错误。
    修改后报错如下。
    Generate CSR…acg18.csr
    Parsing account key…
    Parsing CSR…
    Registering account…
    Already registered!
    Verifying *******…
    Traceback (most recent call last):
    File “/tmp/acme_tiny.py”, line 198, in
    main(sys.argv[1:])
    File “/tmp/acme_tiny.py”, line 194, in main
    signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca)
    File “/tmp/acme_tiny.py”, line 123, in get_crt
    wellknown_path, wellknown_url))
    ValueError: Wrote file to /data/wwwroot/acg18/.well-known/acme-challenge/1lN9EOw_m1UpzQfGnZLhH5wIUcDpOQn2fGZ_jfi7LWM, but couldn’t download http://*****/.well-known/acme-challenge/1lN9EOw_m1UpzQfGnZLhH5wIUcDpOQn2fGZ_jfi7LWM

    Qa 回复:

    @Qa, 卡到这里就无法解决了….求助 ?

    白龙君 回复:

    @Qa,
    我也是这样,按照你的方法试验还是不行
    ValueError: Wrote file to /tmp/challenges/.well-known/acme-challenge/N3kQ22GtfBdRGUjHu9spotxQc11ReQBxcIfNt4i-Or0, but couldn’t download http://***/.well-known/acme-challenge/N3kQ22GtfBdRGUjHu9spotxQc11ReQBxcIfNt4i-Or0

    qi 回复:

    @白龙君, DNS是不是出了问题?

    Qa 回复:

    @Qa, 问题解决了,我把文件写入到/tmp没问题,通过nginx 重写URL就行了。
    location /.well-known/acme-challenge/ {
    alias /tmp/challenges/.well-known/acme-challenge/;
    try_files $uri =404;
    }

    qi 回复:

    @Qa, 现在有了更加方便的命令了:https://certbot.eff.org/

    回复

  28. qiye
    2016年06月27日

    都添加完成后,图片和js css都加载不出来了 怎么解决

    qi 回复:

    @qiye, 你的CSS是用了CDN吗?

    回复

  29. TrojanSun
    2016年05月13日

    通过脚本获取的key是否有时间限制呢?
    而且你的文章的操作和你的图对不上
    脚本获取的只有4个文件 没有pem!

    qi 回复:

    @TrojanSun, 没有时间限制。key和pem是一样的,把后缀名修改一下就可以生成Pem了。或者直接在路径中引用key就行 了,只要有一个公钥与私钥就行了。

    TrojanSun 回复:

    @qi, 快速的没时间限制? 一步一步的要有时间限制,好累!

    qi 回复:

    @TrojanSun, 你说证书有效期吗?都是90天。

    TrojanSun 回复:

    @qi, 恩 是的 为什么我配置完成后 如果输入www.域名.com 会告诉我 只对域名.com有效 会拦截

    TrojanSun 回复:

    @TrojanSun, 不过我貌似知道了原因我去试试!

    qi 回复:

    @TrojanSun, 是不是Firefox不信任?

    TrojanSun 回复:

    @qi, 是因为申请的时候就申请了一个….很,,,,咳 失误

    回复

  30. mikifuns
    2016年05月1日

    是挺好的SSL,但是如果是用除了cp以外的面板的话安装特别特别特别费事……QAQ信心全没了

    qi 回复:

    @mikifuns, 最好还是VPS,虚拟主机貌似怎么好安装。

    mikifuns 回复:

    @qi, 我用的就是vps,然而 ? 嗯哼不用面板就不会用了 …还好我研究出来安装方法了 :mrgreen:

    EQ 回复:

    @mikifuns, da amh 这些安装ssl还是很快的~ 一键包的话也很容易安装~

    qi 回复:

    @EQ, amh好像有模块吧?

    EQ 回复:

    @qi, 恩。。不知道是不是我配置姿势不对。。反正用不惯amh的模块。。

    mikifuns 回复:

    @qi, amh有模块,但是对于Let’s Encrypt这种的是没有模块支持的也就是说还得看官方文档然后改来改去慢慢去弄怎么挂ssl…我花了一上午去弄那玩意特麻烦…但是如果直接由证书文件的话amh是可以直接用的…问题是Let’s Encrypt这玩意另类….

    qi 回复:

    @mikifuns, 所以,还是不要用VPS面板吧,漏洞不说,各种不兼容。

    qi 回复:

    @mikifuns, 你的网站SSL成功了,但是打开速度有些慢。

    mikifuns 回复:

    @qi, ? 我委屈,但我不说…10秒打开那都算神速了…域名没备@案也用不了什么cdn加速cf的那玩意我也是不敢用…而且我自己家的网就有问题我访问啥都嘎嘎慢的…. ?

    四弦 回复:

    @mikifuns, 博主,说说你SSL配置的几个问题吧。
    第一,证书链不完整,输出的证书至少要包含站点证书和LE的证书,否则Firefox是不认的
    第二,协议支持没有配置好。从安全角度来看,协议支持最低只能到TLSv1.0,然而你却打开了SSL3,这一项就能使ssllabs直接降到C
    第三,Cipher Suites输出得不对,你把RC4打开了,这是极不安全的做法。而且TLS1.2的算法(如AES-GCM)输出得太靠后了,应该庆幸的是你没有开启ssl_cipher_prefer_server on;否则握手时就会采用落后加密套件)
    第四,没有开启OCSP Stapling。对于要求严格的浏览器,比如ff,会选择由客户端来发送OCSP查询,以验证证书是否有效。然而LE的OCSP服务器在美国,由客户端来发送查询,效果可想而知。强烈建议打开OCSP Stapling
    第五,前向安全性配置不当(也是cipher suites的问题)
    第六,HSTS没有配置。不过这算个比较小的问题。

    这个工具可以方便地测试SSL配置:
    https://www.ssllabs.com/ssltest/

    我的网站nginx配置文件供参考:
    https://n4l.pw/nginx-configuration-file.html/

    这位大神的博客可以学到很多东西:
    https://imququ.com

    qi 回复:

    @四弦, 您的连接不是私密连接

    攻击者可能会试图从www.ssllabs.com窃取您的信息(例如:密码、通讯内容或信用卡信息)。 NET::ERR_CERT_REVOKED
    怎么回事?

    mikifuns 回复:

    @四弦, 首先太感谢您指出的问题了(虽然我知识少一个也没看懂) 你说的这些我会研究下的..实际上这SSL都是我照葫芦画瓢弄上去的.面板方没给方案官方也没给方案扔了一摊子完全就是硬弄上去的..所以说要这样我还不如放弃https了……然后我是用的不是Nginx所以文件可以借鉴,但是能不能用….另算了 ? 然后你下面说的问题已经出现了,我已经有因为SSL的原因导致网站打不开的问题了,当初不明白咋回事以为是被移动给墙了现在再看感觉不是那回事….So…. ? 我放弃了这https太难伺候了……慢慢弄吧….

    qi 回复:

    @mikifuns, mikifuns.com 显示目录出来了。。。

    mikifuns 回复:

    @qi, ? 没事反正就一个临时的机子啥东西也没有….

    mikifuns 回复:

    @qi, 现在好了… ? 可怜的我等明天考完期中再搭理这玩意

    qi 回复:

    @mikifuns, 还是会显示目录。

    mikifuns 回复:

    @qi, ? 崩溃的内心

    qi 回复:

    @mikifuns, 今天一天一直受到攻击,网站的评论都不正常了。

    mikifuns 回复:

    @qi, 看得出,早中晚三次呗 ?

    qi 回复:

    @mikifuns, 不是,每天都有。不定时。

    四弦 回复:

    @mikifuns, 导致打不开应该是firefox浏览器,因为ff对证书要求比较严格,如果证书链不完整ff不会认。要解决也很简单,只要下载let’s encrypt的证书,然后把里面的内容贴到站点证书的后面即可

    mikifuns 回复:

    @四弦, 我试了不仅是let’s encrypt的就包括我自己手动复制进去的wosign的证书都有这个问题.我听论坛的人说过好像什么csr啊还是啥不要输入不然会出错不知道是不是这个原因.我重装了打算再试试.

    四弦 回复:

    @mikifuns, 这么说吧。SSL证书是由一系列认证的权威机构颁发的,这些机构都有各自的证书。而机构分为根证书机构(全球一共几百个)和中级证书机构(他们的证书是由根证书机构颁发的)。因此,每一个站点证书对应一条证书链,即站点-中级颁发机构-根证书。浏览器只有在证书链中检测到受信任的证书(即必须追溯到至少一个受信任的中级证书机构)才认为站点证书是可信的。因此,如果证书链中只有站点证书,浏览器要么自行去下载对应的中级机构证书,要么选择不信任。ff采取的就是后者。所以如果要被ff信任,必须编辑站点证书文件,在末尾粘贴进Let’s encrypt中间证书(在网站上可以下载到),才可以被ff信任。而OCSP(在线证书状态协议),是为了验证证书是否有效而提出的,正如我之前说的,要么由浏览器发送OCSP查询,要么由服务器缓存OCSP查询结果并返回,由于服务器网络较好,通常选择后者,称为OCSP Stapling(OCSP封套)。而完整的证书链是服务器OCSP Staling的必须条件。

    mikifuns 回复:

    ? 求教正确获得完整证书的姿势

    qi 回复:

    @四弦, startssl也存在Firefox不信任的问题,需要复制粘贴中间证书才行。

    四弦 回复:

    @qi, 实际上ff这种做法虽然激进,但是是正确的。因为SSL证书是应该配置完整证书链的,否则就必须由浏览器去下载中间证书甚至进行OCSP查询,这么做网络开销太大

    qi 回复:

    @四弦, xp现在Chrome都放弃了,所以现在SSL证书不用考虑XP了。

    四弦 回复:

    @mikifuns, 而你说的CSR,是证书签发请求文件,用这个文件可以向颁发机构申请到SSL证书。每个CSR对应的实际上是证书的公钥(SSL证书使用非对称加密解密方式)。显然,CSR在证书链中毫无作用。

    mikifuns 回复:

    @四弦, 唉我看到了它的证书了,但是是分为两个文件的.这样的话我想批自动处理就不可能了(总不能让每次生成的文件自动粘合在一起吧..)

    四弦 回复:

    @mikifuns, 首先纠正一个概念,Linux下一般不说批处理而称为shell脚本。其次这个问题很简单,首先你下载X3中间证书(被XP兼容),然后假设中间证书为
    intermediate.pem,签发证书为signed.crt,合并命令为
    cat signed.crt intermediate.pem > site.crt
    可看我博客第二页(貌似)有一个le更新脚本,除了加入CT(certificate transperancy)信息之外,就是一个正常的le更新脚本

    mikifuns 回复:

    @四弦, ? 我渣所以别太计较什么术语….我自己就是凭印象说的没真正较过真…其次我解决了那个问题.现在评价上升到B了 天终于上去了

    四弦 回复:

    @mikifuns, 博主你好,你的博客SSL更新邮件我已收到。再看了一下,的确安全了不少。不过,仍有几个致命问题:
    1.Cipher Suites输出得仍旧不恰当,这么输出的话,兼容性实在太差了,作为一个RSA证书,这么损害兼容性简直作死
    2.没有开启HTTP/2,开启后性能提升很大,建议开启。开启之后一定要打开ALPN和NPN(只要在编译nginx时静态编译openssl 1.0.2h即可)
    3.没有开启HSTS。HSTS(HTTP严格安全传输协议)是一个服务端响应头。我们知道,传统的将所有HTTP 301到HTTPS的做法,虽然可行,但是,第一次HTTP请求就可以被直接劫持,从而构成HTTPS降级(Downgrade)攻击。而浏览器在收到HSTS头后,会在本地建立HSTS缓存,对于缓存HSTS状态的网站,浏览器将会本地直接307到HTTPS,杜绝运营商劫持。HSTS头的格式如下:(名称为Strict-Transport-Security)
    max-age=;[includeSubDomains;[preload]]
    加方括号的参数为可选。max-age必选,规定缓存有效期,单位为秒。includeSubDomains,对所有子域名全部启用HSTS。preload即预加载,由于HSTS仍依赖服务端头,则在用户初次访问时仍可能被劫持。为此,现代浏览器内置一份HSTS Preload List,在这个名单中的网站将强制进行本地跳转,无需第一次加载接受到服务端返回的HSTS头。个人网站目前可以加入该列表,只需要到下面的网址提交(已被Q)
    https://hstspreload.appspot.com/
    要求如下:
    1.所有HTTP 301到HTTPS
    2.必须有www域名,且www也要启用HTTPS。以及所有有DNS记录的子域名都要启用HTTPS
    3.设置HSTS如下(max-age为最小值)
    max-age=10886400; includeSubDomains; preload
    4.一个有效的证书
    提交后大约有2周-1个月的审核期,之后你的域名会被加入该名单,但首先只会加入Candy版(可理解为chrome的开发版),之后是unstable(不稳定版),一般要几个月才能进入稳定版。IE Edge Firefox Tor都使用这份名单,但更新频率有区别
    nginx指令如下
    add_header Strict-Transport-Security ‘max-age=10886400; includeSubDomains; preload’;

    四弦 回复:

    @mikifuns, 另外你的网站目前500中

    四弦 回复:

    @mikifuns, 应该说,博主你的网站打开速度慢不仅仅是速度的问题,SSL这一块问题相当大

    四弦 回复:

    @mikifuns, 用curl测试了几次,结果如下
    ? ~ curl -kso /dev/null -w “tcp:%{time_connect}, ssldone:%{time_appconnect}\n” https://blog.mikifuns.com/
    tcp:0.478, ssldone:2.351
    ? ~ curl -kso /dev/null -w “tcp:%{time_connect}, ssldone:%{time_appconnect}\n” https://blog.mikifuns.com/
    tcp:0.214, ssldone:8.478
    ? ~ curl -kso /dev/null -w “tcp:%{time_connect}, ssldone:%{time_appconnect}\n” https://blog.mikifuns.com/
    tcp:0.197, ssldone:0.997
    ? ~ curl -kso /dev/null -w “tcp:%{time_connect}, ssldone:%{time_appconnect}\n” https://blog.mikifuns.com/
    tcp:0.222, ssldone:1.839

    结果中,tcp是TCP握手时间,ssldone是SSL握手完成的时间。SSL握手消耗的时间很长

    另外,从chrome://net-internals/#http2里可以看到,你的网站也没有开启HTTP/2,开启它也可以极大提升网站速度(讽刺的是可以看到你页面里引用的又拍链接用了h2)同时,尽管你开启了Keep-Alive长连接,但是这一值却设置得太短(用ch的开发工具可以看到头部只输出了timeout=5)

    wkmike 回复:

    @四弦, 我也是按imququ配置的nginx。
    @qi,评论编辑器右边头像和信息显示不全

    四弦 回复:

    @wkmike, 是啊,他的博客确实很涨知识

    四弦 回复:

    @wkmike, 博主你既然打开了CT,为什么不上HSTS和HPKP呢?另外ECC只用了256位的,ssllabs建议是384位

    wkmike 回复:

    @四弦, 现在还没怎么研究,只是依样画葫芦,今天递交了阿里备案,等备@案好了重新好好研究下,马上毕业了,大二的信息安全课程没好好听实在是后悔

    四弦 回复:

    @wkmike, 都大二了。。。我高一狗- –

    四弦 回复:

    @四弦, 啊不,大学毕业。。。

    wkmike 回复:

    @四弦, 高一好年轻,大二是两年前,马上毕业工作了。。

    qi 回复:

    @wkmike, 多在互联网网上看看技术文章,自学成才。

    qi 回复:

    @wkmike, 一直有这个Bug,嵌套评论时CSs那一块有不兼容的问题。

    qi 回复:

    @mikifuns, 现在还是挺快的。

    回复

  31. DingMing
    2016年03月10日

    那个cron定时要怎么设置啊?求科普

    qi 回复:

    @DingMing, 这个是Linux定时任务,在LINUX中你应该先输入crontab -e,然后就会有个vi编辑界面,再输入代码,最后:wq 保存退出。

    回复

  32. 李毅哲
    2015年12月31日

    https://free.com.tw/ssl-for-free/
    这个申请方法容易许多!

    qi 回复:

    @李毅哲, 这个是基于 Let’s Encrypt 的在线工具,貌似有好几个这样的工具了。

    回复

  33. zkwolf
    2015年12月18日

    貌似今天有人说用了这个以后网站被q了

    qi 回复:

    @zkwolf, 不会吧,QQ对SSL证书还么敏感吗?

    zkwolf 回复:

    @qi, 可以看看他的微博https://weibo.com/u/1789004515?is_all=1

    qi 回复:

    @zkwolf, 再观察看看,QQ能发现网站所使用的证书吗?

    zkwolf 回复:

    @qi, 不知道。。没有仔细的研究过墙

    四弦 回复:

    @qi, 如果开启了SNI扩展,就可以读出网站域名

    回复

  34. qq
    2015年12月17日

    普通cp的虚拟主机怎么申请Let’s Encrypt SSL?没有vps

    qi 回复:

    @qq, 普通的CP要有一个独立的IP地址,然后可以在Cpanel后台的SSL管理器中生成CSR,可以进入到这:https://f.e123.pw/ssl/和https://diafygi.github.io/gethttpsforfree/申请,这是网友根据Let’s Encrypt 开发出来的。

    iii 回复:

    @qi, 漏了一个,httpsforfree我前天搜免费的SSL时候找到的,letsencrypt是才出的,而这网站居然连个CSS都没有…纯组件..忽然好有复古的感觉,这个easyssl用的好像是修改过的bootstrap,还有CSR在线生成什么的,比httpsforfree要方便点。[url]https://www.easyssl.pw[/url]

    qi 回复:

    @iii, 之前有个朋友好像有分享过。

    回复

  35. ip
    2015年12月16日

    @qi, openshift能不能用这种第三方的SSL证书,我没有信用卡….

    qi 回复:

    @ip, 免费的用户,不支持。

    回复

  36. qq
    2015年12月15日

    收到这4个文件了
    [img]https://img.freehao123.com/wp-content/uploads/2014/12/namecheap-ssl_21.gif[/img]
    然后呢,该怎么安装?
    cpanel主机,上传了一个,浏览器访问证书不信任。这4个都是干什么用的?

    qq 回复:

    @qq, 注意: 您没有专用 IP 地址。因此,当用户访问您的任何 SSL 网站时,不支持 SNI 的 Web 浏览器有可能向这些用户显示虚假的安全警告。 Windows XP? 上的 Microsoft? Internet Explorer? 是最广泛使用的不支持 SNI 的 Web 浏览器。

    qi 回复:

    @qq, 把这个证书合并为一个证书文件即可,合并顺序是:域名.crt+SecureServerCA.crt+AddTrustCA.crt+CARoot.crt

    qq 回复:

    @qi, 怎么让http自动转向https呢?

    qi 回复:

    @qq, 如果要实现自动跳转的话,就得要用301重定向了。这个就需要修改Htaccess代码了。

    qq 回复:

    @qi, wordpress博客直接在设置-常规,修改
    澳门金沙赌城网站官网地址(URL)
    站点地址(URL)可以吗?网上教程还得改代码、装插件,直接改地址有什么问题吗?

    qi 回复:

    @qq, 可以,不用改代码。

    qq 回复:

    @qi, 直接在设置-常规,修改澳门金沙赌城网站官网地址,http改成https,有什么问题没有?

    qi 回复:

    @qq, 没有问题。

    回复

  37. 冰喵
    2015年12月14日

    然后你的域名必须要绑定在这个签发的主机上,他会利用你的域名dns来验证你域名是否绑定在这个主机上,以便验证你的身份

    其中对应的server参数是签发服务器,如果不指定会签发一个不可信任的证书,然后感谢博主的脚本使定时签发成了可能

    上个评论审核中,如果先看到了这个麻烦等待一下吧

    qi 回复:

    @冰喵, 任意域名都可以签发SSL吧?

    冰喵 回复:

    @qi, 似乎是的 但是必须经过dns验证

    不过dnspod真是够烂的
    国外机器始终超时 阿里的倒是没问题 迷

    qi 回复:

    @冰喵, 阿里DNS可以吗?DNSPOd看来是有问题了。

    回复

  38. 冰喵
    2015年12月14日

    其实还有另外一种方案,适用于Debian,可能没你的好,不过您可以看看

    https://morz.org/52.html

    补充一下,使用dnspod的用户在国外主机会签发失败
    (请使用https访问,请使用先进浏览器与系统访问,ssl安全过高,低系统不在支持)

    qi 回复:

    @冰喵, XP系统下打不开吗?

    冰喵 回复:

    @qi, 我设置的安全等级 低系统不支持罢了

    只开tls1.2 基本就让一大部分的设备ed了

    qi 回复:

    @冰喵, 我还得换个windows 7系统。现在用了XP系统。

    回复

  39. ty
    2015年12月14日

    前几天快速脚本已经增加了对 centos 下 /etc/pki/tls/openssl.cnf 判断,可以直接运行不需要修改了哦

    qi 回复:

    @ty, 谢谢,已经更新文章。

    回复

  40. Horo
    2015年12月14日

    还是顶一下呗~

    回复

  41. 不认识
    2015年12月13日

    加密就是好啊,能防各种篡改。。。
    我见过有无耻网吧把广告ID换成自己的ID的

    qi 回复:

    @不认识, 是呀,淘宝推广的,最多了。

    回复

  42. talwayss
    2015年12月12日

    三、利用脚本快速获取Let’s Encrypt SSL证书–这个脚本,没有说明nginx配置呀,生成那么多文件,到底如何使用的;如何配置根本没说???????

    三、利用脚本快速获取Let’s Encrypt SSL证书–这个脚本,没有说明nginx配置呀,生成那么多文件,到底如何使用的;如何配置根本没说???????

    qi 回复:

    @talwayss, 亲,在下面:四、 Ngnix配置Let’s Encrypt免费SSL

    talwayss 回复:

    @qi, 文件名字对不上,脚本生成几个了;不知道是那个,脚本哦

    回复

  43. 王琪亮
    2015年12月12日

    其实买收费的证书会减少时间成本,因为这个证书一次签名有效期仅有90天啊……

    qi 回复:

    @王琪亮, 是呀,希望以后可以证书可以适当延长时间,这样那些卖付费的证书就不好做了。

    RR233CY 回复:

    @王琪亮, 这货支持使用cron自动更新SSL证书

    王琪亮 回复:

    @RR233CY, 我知道啊,但是cron挂了怎么办?
    这么多的不确定,让我依然支持廉价收费dv证书。

    RR233CY 回复:

    @王琪亮, 你可以设置每个月自动更新一次SSL证书啊

    回复

  44. 何朝城
    2015年12月12日

    CDN(备?案) VS SSL,只能放弃SSL了 ?

    qi 回复:

    @何朝城, 现在CDN支持SSL的比较少。

    iii 回复:

    @qi, Cloudflare其实无比流氓,后台限制SSL如果不是新系统和新浏览器 根本就锁死443端口,改UA没用,实际上所谓的SNI技术不支持WINXP纯属胡扯。。只是不支持XP中的IE6和XPSP2而已,XPSP3用chrome内核的一样是可以使用的,cpanel已经点名在那里上传的证书都是SNI技术,而我在XP下正常访问,使用CLOUDFLARE SSL却不行,换WIN7就能打开了,我一朋友在百度那儿,不知道是干啥的,西安电大出来就去百度了,我就找他问了下cloudflaressl是不是捣鬼了,第二天他说同事说CLOUDFLARE对免费套餐有检测的,会检测UA,旧系统不管是什么浏览器就是不允许加密访问。而百度却专业版也不支持SSL,然而10G防御和几乎穿不透的CC是很大卖点。扯完百度扯完CLOUDFLARE收工,顺便提醒下qi:verycloud的CDN每个月50G流量,支持传SSL,但是据说有国外节点,然而仍要备@案

    qi 回复:

    @iii, verycloud有分享过,不过要BA是一个大问题。Cloudflare的免费SSL确实存在不少的问题。

    回复

  45. tey
    2015年12月12日

    [url]https://www.yscdn.com/[/url]这家提供免费2年的cdn 每个月10G流量 qi应该介绍下 话说第一期应该就没了 结果又出了第二期

    qi 回复:

    @tey, 好,我去看看。

    回复

  46. 程力集团
    2015年12月12日

    现在好多站都在往https发展了,一般都是主域。

    qi 回复:

    @程力集团, 是呀,如果搜索引擎能够对SSL友好的话,相信以后更多的网站就会使用Https了。

    回复

  47. 黄良钵博客
    2015年12月12日

    想搞个ssl证书,可惜没有vps,用的都是虚拟主机

    qi 回复:

    @黄良钵博客, 是呀,这个需要独立IP。不过,虚拟主机可以使用CloudFlare的免费SSL证书。

    黄良钵博客 回复:

    @qi, 部落不搞个证书?

    回复

  48. 等待记忆中
    2015年12月12日

    windows系统怎么安装呀?

    mannix 回复:

    @等待记忆中, windows还是去申请wosign或者startssl的免费证书得了

    qi 回复:

    @等待记忆中, 目前还不支持Windows系统。

    快乐家园 回复:

    @qi, 用linux的机器申请,手动模式,然后把证书装到win机器上。官方说稍后支持,github上面也有支持iis的版本

    回复

  49. 电脑知识收藏夹
    2015年12月12日

    ? 楼主似乎没有说明…… 这个证书其实是支持多域名的!!!多域名哟!一个IP,多个域名的证书是极好的哟!(目前其他免费/便宜证书都是只支持单域名的)

    qi 回复:

    @电脑知识收藏夹, 谢谢,确实是这样。生成域名证书时可以添加多个域名。

    qi 回复:

    @电脑知识收藏夹, 博主的网站无法发布评论。

    回复

  50. eqblog
    2015年12月11日

    ? 恩。。这个免费证书不错。。现在comodo也有免费一年的。。。恩感觉比这个高大上点。。。

    qi 回复:

    @eqblog, comodo 免费SSL,是不是Uk提供的那个?我申请了好几次都不没有答复。

    eqblog 回复:

    @qi, 是的就是那个~hostloc上有教程的~可以申请成功…恩..我博客也有教程的~

    qi 回复:

    @eqblog, 原来我已经申请成功了。我一直以为要等待审核开通的邮件。刚刚直接去申请获取证书,就成功了。

    回复

  51. 外星人源码论坛
    2015年12月11日

    也就是说要想使用这个ssl证书 就不能用的 DNS服务商 提供的dns服务了吗?

    qi 回复:

    @外星人源码论坛, 使用那个快速获取SSL证书的会要求验证,国内的DNS服务会出现问题。

    快乐家园 回复:

    @qi, [img]https://i5.tietuku.com/9180040703ff42c2.png[/img]
    有人把dns问题归结到zf身上了。dnspod已经开始着手解决这个问题,cloudxns也有人反映了。

    qi 回复:

    @快乐家园, 原来是这样呀。

    灰姑娘 回复:

    @qi, DNS和ssl证书有什么关系呀?没太明白呢、

    qi 回复:

    @灰姑娘, 没有什么关系,就是这个验证时出现域名访问不成功的问题。

    灰姑娘 回复:

    @qi, 验证的时候解析异常吗?好奇怪,是墙的问题(O_O)?

    qi 回复:

    @灰姑娘, 有可能,也有可能是国内的DNS的问题。

    回复

  52. TrojanSun
    2015年12月11日

    看着好麻烦.///不做交易站 不知道有没有用啊…

    qi 回复:

    @TrojanSun, 用作个人博客也可以用,现在搜索引擎都鼓励使用Https

    回复

  53. 我是小马甲~~
    2015年12月11日

    qi 有木有一个群,我加进去学点东东。 这几天就搞了这个SSL了

    qi 回复:

    @我是小马甲~~, 有的:/contact/。群5和群7不错。

    回复

  54. 我是小马甲~~
    2015年12月11日

    正在申请 StartSSL 呢。
    一会试一试这个

    qi 回复:

    @我是小马甲~~, StartSSL 申请容易失败,我今天刚刚试一了下,说我的信息不准确。

    灰姑娘 回复:

    @qi, 他们好像是人工借助地图工具审查的。。我也是改了好几次才申请到。

    回复

  55. 快乐家园
    2015年12月11日

    https://diafygi.github.io/gethttpsforfree/
    这里可以在线申请let’s encrypt

    qi 回复:

    @快乐家园, 居然还有这么一个好东西,这个真是方便呀。

    快乐家园 回复:

    @qi, 这个网页需要用linux下的openssl进行操作,不支持windows(亲测),而且一样会有dns解析问题。我正在做一个用起来没那么麻烦的版本,用php实现,做出来再说。dns问题应该去letsencrypt的论坛讨论一下。

    qi 回复:

    @快乐家园, 期待博主的应用出来,这样大家获取证书就方便多了。

    快乐家园 回复:

    @qi, [url]https://f.e123.pw/ssl/[/url],已经差不多了,我还没测试,因为我在用cloudxns…

    iii 回复:

    @快乐家园, ? 我又找到一个跟你这一模一样的网站。。似乎关于支持性方面比你这个要好一点,都汉化过了https://getssl.easyssl.pw,还用了这个项目的名字做域名。。

    qi 回复:

    @iii, 应该都是基于lets encrypt开发的吧。

    iii 回复:

    @qi, 网站说了好像就是一个lets开发的,而且还指明了这个网站能加快颁发步骤,申请证书不是卖点,好像就是为letsencrypt而开的。。而且我试了下,好像可以用SSL访问,不过是Cloudflare的SSL

    快乐家园 回复:

    @qi, 而且这个还不能续期。

    qi 回复:

    @快乐家园, 那这样就不好了。不能续期后期就麻烦了。

    快乐家园 回复:

    @qi, 作者说后续会出,不过也可以用官方的客户端来续期。

    回复

  56. 丹乐网
    2015年12月11日

    我想弄个但是用的lum 不会弄

    qi 回复:

    @丹乐网, lum 好像自带了SSL证书安装,可以直接安装。

    回复

  57. Kung
    2015年12月11日

    可以搞一个。。。

    qi 回复:

    @Kung, 可以试试。

    怪兽法师 回复:

    @qi, easypanel怎么搞

    qi 回复:

    @怪兽法师, easypanel新版的没有了添加SSL功能,easypanel v2.4.0版有直接从后台添加SSL证书文件的功能。不过, 我们可以按照Nginx配置的方法来在easypanel上安装SSL。

    何朝城 回复:

    @qi, 速度好快啊。

    回复

发表评论

电子邮件地址不会被公开。 必填项已用*标注

返回顶部
移动 桌面