【发布时间】:2018-08-06 09:50:16
【问题描述】:
我有 certbot,包括在与客户端的多个安装中使用的自动续订。
现在我一直在这里阅读:
这里
这里
https://github.com/certbot/certbot/issues/5405
这里也是:
似乎每个人都在说一些略有不同的东西
并没有给出明确的解释。
我一直在阅读 certbot 安装的标准描述
更新文档指向此处:
https://certbot.eff.org/docs/using.html#renewal
但是:旧的易受攻击的tls-sni-01 方法仍然列出
我试着总结一下:
在缓解现有服务器上现有问题的指南中:
他们建议在更新时停止并启动服务器。 但是……这样不好。如果某些配置中断,并且在我睡着时服务器停止启动怎么办?服务器将不可用。或者更糟糕的事情。我不是 devops 专家,但让服务器或多或少随机启动和停止,似乎不是一个好的解决方案。我错了吗?
作为替代方案,我看到仅不使用tls-sni-01 的webroot 插件。 https://certbot.eff.org/docs/using.html#webroot
这对我来说似乎是唯一的方法,这似乎是可靠的。
我错过了什么吗?我们基本上被告知要使用 webroot 插件吗?
因为所有其他人都使用 tls-sni-01,它们不是自动化的(您可以手动完成,但我实际上不想这样做)或要求您没有正在运行的服务器(独立)。
这是为未来的服务器准备的。我猜现有的域名续订将继续使用旧的tls-sni-01,这就是他们似乎在说的。
【问题讨论】:
标签: ssl https ssl-certificate lets-encrypt certbot