未分類
2020 年 7 月 22 日

除了 Let’s encrypt 还有其他的免费通配符证书么?

除了 Let’s encrypt 还有其他的免费通配符证书么?

資深大佬 : cnfczn 11

最近 Let’s encrypt 验证总是无法通过。不知道大家有没有其他选择…

大佬有話說 (13)

  • 資深大佬 : mason961125

    除了 Let's encrypt 还有其他的免费通配符证书么? 不如先找找失败的原因是什么?

  • 資深大佬 : cnfczn

    @mason961125 此前发过一个帖子讨论过,有朋友回复说是 Let’s encrypt 的验证服务器被屏蔽了.
    但是我这里返回的错误信息与网上写的并不太一样.
    DNS problem: SERVFAIL looking up TXT for _acme-challenge.x.com – the domain’s nameservers may be malfunctioning
    而且不论是 dns 还是 webroot 都无法验证通过,上次证书续期还没有问题.所以不打算在这一个上面靠死..想看看大家有没有使用过其他证书.

  • 資深大佬 : mason961125

    @cnfczn #2 刚才去试了一下,用 acme.sh 的 DNS manual mode,你这个错误我一开始也遇到了,大概率是解析没生效,还有一种可能是,你分别添加了两条 TXT 记录,而不是在一个 TXT 记录里写两行,如果你写两个不同的_acme-challenge 的话,华为云那个 DNS 会默认帮你按权重负载均衡,所以不能在一次查询中找到两条记录。但是我改成一条记录写两行的模式之后,还是发生错误,DNS 查询请求超时或者 CAA 记录查询失败。支持 wildcard 的免费证书确实不多。如果不想换 DNS 解析商的话,确实我没找到除了 Let’s Encrpyt 之外的免费证书。所以相对来看,换一家支持 DNS API mode 的解析商是个更好的选择,顺便也能完成自动化,至少我用阿里的 DNS 的之后都是用 API Key 来自动续期的。

  • 資深大佬 : wsly47

    https://sm.ms/image/MJgl1OLXoknAuFc
    https://sm.ms/image/KwzPDTIF8htlGLd

    我自己测试了一下签成功了,dig 也可以看到两条 txt 记录

    还不行的话 检查 CAA 记录是否正确或者直接删了它

  • 資深大佬 : arischow

    CloudFlare API + acme.sh

  • 資深大佬 : moxuanyuan

    最简单是 cloudflare 开启半程 SSL 模式吧。。。

  • 資深大佬 : Windelight

    Let’s Encrypt 、CloudFlare 、AlphaSSL

  • 資深大佬 : cnfczn

    @mason961125 感谢这位仁兄的耐心解答,此前我一直用阿里的服务器,dns 解析也是阿里的,后来到期换的华为.上次解析的时候还正常,这次就怎么也过不去了.
    刚才又试了下在没有被和谐的服务上更新证书也一样失败.而且 dig 能查询到 TXT 记录.
    上次更新证书的时候,我只用了一个_acme-challenge 条目,两次 TXT 记录都是先后更改的,验证失败两次第三次成功了.
    这次更新证书就不行了,已经把所有可以设置的方法都设置过了.包括 2 个_acme-challenge TXT 记录,或者 1 个_acme-challenge 里边 2 个 TXT 记录,添加 CAA 删除 CAA 等等各种姿势.

  • 資深大佬 : cnfczn

    @wsly47 刚才按照你的思路也配置了一下,仍然失败.
    the domain’s nameservers may be malfunctioning
    dig 能看到正确的 TXT 记录
    挺郁闷的,我打算换 dns 服务商试试了

  • 資深大佬 : cnfczn

    @moxuanyuan 我也正在试,正在等 NS 变更

  • 資深大佬 : cnfczn

    @arischow 刚开始弄 CloudFare,等 NS 变更以后再试试.
    我有个朋友用的某一键后台,自动更新 let’s encrypt 证书,好像是 webroot 验证,据说也不太稳定,但是最后成功过了.
    这几种验证方式我都试过,都不成功…等 ns 变更后再试试

  • 資深大佬 : cnfczn

    @Windelight ok,多谢仁兄..我先试试 cloudfare

  • 資深大佬 : laozhoubuluo

    验证不通过的原因是因为 Let’s encrypt 的 OCSP 域名被 DNS 污染了。
    可以考虑在 hosts 文件配置如下指令,并开启服务器的 OCSP stapling 缓解此问题。

    ···
    # Let’s encrypt OCSP Server
    23.52.0.145 ocsp.int-x3.letsencrypt.org
    2600:1406:3::b81c:bcb8 ocsp.int-x3.letsencrypt.org
    ···