SSL没一年了，又不想舔百度和UC，于是学习了acme certbot对比

squalll

昨天用服务器A研究了CERTBOT，但是发现，存在一些缺陷

今天用另一台服务器B学习了ACME.SH，并且进行了对比

发现CERTBOT还是差很多，主要体现在：

发现对比之下还是ACME.SH好用

CERTBOT毛病太多，还必须读取你的NGINX配置文件，还会未经你的同意修改（虽然是善意的，但是容易出BUG），最重要的是CERTBOT只支持UTF8的格式CONF，这样会和subs_filter替换文本插件冲突。。。

而且据说ACME.SH直接调用DNSPOD之类的，而CERTBOT竟然还需要第三方插件才能实现DNS验证（而且还分系统版本，乌班图、CNETOS什么的还不一样，CENTOS我竟然没找到对应的插件），没办法，全反代站没有本地路径

加了
location ^~ /.well-known/acme-challenge/ {
    alias /www/server/nginx/html/.well-known/acme-challenge/;
    try_files $uri =404;
}


，让CERTBOT读取CONF竟然不支持UTF8，而转成UTF8后我的SUBS_FILTER插件就对中文失效了，所幸第二胎改成ACME.SH

ACME.SH原理就简单多了，验证，然后问你把证书文件自动拷贝到哪里（NGINX调用证书路径），就完事了，还自动帮你加了定时续期任务，而CERTBOT网上教程说看看有没有，没有任务自己加，结果就没有任务，只好手动加CERTBOT定时任务。

昨天GPT死活非让我用CERTBOT，告诉我这比ACME.SH简单得多，是做好用的自动程序，昨天我还真信了。

最重要的还是，CERTBOT读取CONF并修改CONF这种方式虽然更智能自动化，但是毛病多，而ACME.SH不改你的CONF，但是原理是一通直达。

louiejordan

Fightlee 发表于 2024-5-4 15:47
30买个alphassl得野卡么算了

一个SSL还要花钱我是想不通

Fightlee

30买个alphassl得野卡么算了

ceplavia

caddy笑出声

万亩斜阳

yixin82 发表于 2024-5-5 00:55
免费的lets不是说也有通配符了吗

免费的是3个月的。
不嫌每3个月手动更换证书麻烦，可以。
否则就要acme这种工具，自动化更新。
但有些场合，例如cdn，很难这种自动化更新。

yixin82

justfkqq 发表于 2024-5-4 21:04
我也是弄的这个，好多个子域名，一个一个申请很麻烦，一年30，通配符，省事多了 ...

免费的lets不是说也有通配符了吗

squalll

万亩斜阳 发表于 2024-5-4 20:50
同样，不过，我是因为这两家还都没有实名过账号。不想为了这个，浪费个名额。
而且不知道什么时候也要改3月 ...

其实会了以后就几分钟搞定哈

justfkqq

Fightlee 发表于 2024-5-4 15:47
30买个alphassl得野卡么算了

我也是弄的这个，好多个子域名，一个一个申请很麻烦，一年30，通配符，省事多了

万亩斜阳

同样，不过，我是因为这两家还都没有实名过账号。不想为了这个，浪费个名额。
而且不知道什么时候也要改3月期。
所以今天凌晨花时间，总结了一遍acme的详细使用过程。

squalll

笑花落半世琉璃 发表于 2024-5-4 17:18
比如像那些前端设计的一个域名几百个子域名对外演示站，自动化万一没续上，弹不安全吓跑几个中小企业客户 ...

这种肯定要花钱的

笑花落半世琉璃

louiejordan 发表于 2024-5-4 15:48
一个SSL还要花钱我是想不通

比如像那些前端设计的一个域名几百个子域名对外演示站，自动化万一没续上，弹不安全吓跑几个中小企业客户得不偿失

netsky

1. #!/bin/bash
   
2. 
   
3. # Step 1: Extract domain names and generate SSL certificates
   
4. for file in /www/server/panel/vhost/nginx/*.conf; do
   
5.     if [[ $file == *".plus"* || $file == *".org"* || $file == *".com"* || $file == *".sd"* ]]; then
   
6.         domain=$(basename "$file" .conf)
   
7.         
   
8.         # Issue SSL certificate
   
9.         if ./acme.sh --issue --dns dns_cf -d $domain --nginx; then
   
10.             # If certificate issuance is successful, install the certificate
    
11.             ./acme.sh --installcert -d $domain --ecc --key-file /www/server/panel/vhost/cert/$domain/privkey.pem --fullchain-file /www/server/panel/vhost/cert/$domain/fullchain.pem
    
12.         else
    
13.             echo "Failed to issue certificate for domain $domain. Skipping installation."
    
14.         fi
    
15.     fi
    
16. done
    

复制代码

刚刚用gpt写了一个不知道有没有更好的