使用 GCP 公共 CA 签发证书初体验

iks · 发表于 2022-4-3 16:27:28

adrce 发表于 2022-4-3 16:19
1：我知道啊，不然我说block
2：我以为是和cloudflare一样用的自家sni

1. SNI 由客户端发送，即：
访问 www.example.com 时，浏览器会向服务器发送 SNI: www.example.com，服务器根据 SNI 发送证书公钥；
2. Cloudflare Inc CA 的证书 commonName 中的 sni.cloudflaressl.com 并非 SNI，根据上条概念。
3. 综上所述，部分地区出现的 Cloudflare 证书阻断并非「SNI 阻断」，因为阻断并未发生在传递 SNI 时，而是发生在传递 SNI 后；
4. 通过 ACME 协议请求的证书需要验证每一个 DNSAltName 的所有权，且 CA 不得变更除顺序外的内容，因此 commonName 和 DNSAltName 中不会有 Google 字样再次出现。

imzhifu · 发表于 2022-4-3 16:28:08

谢谢大佬，已经报名占坑了。
有什么好的管理证书自动更新的方法吗，比如多台服务器，更新证书之后怎么同步呢

iks · 发表于 2022-4-3 16:30:29

imzhifu 发表于 2022-4-3 16:28
谢谢大佬，已经报名占坑了。
有什么好的管理证书自动更新的方法吗，比如多台服务器，更新证书之后怎么同步 ...

请参考 https://hostloc.com/thread-980579-1-1.html

adrce · 发表于 2022-4-3 16:31:47

本帖最后由 adrce 于 2022-4-3 16:34 编辑

iks 发表于 2022-4-3 16:27
1. SNI 由客户端发送，即：
访问 www.example.com 时，浏览器会向服务器发送 SNI: www.example.com，服务 ...

你其实可以只回复“不会”就行了

总之先点个赞

大猫 · 发表于 2022-4-3 16:42:09

根证书交叉了globalsign吗

iks · 发表于 2022-4-3 16:42:23

adrce 发表于 2022-4-3 16:31
你其实可以只回复“不会”就行了
总之先点个赞

哈哈哈哈哈

iks · 发表于 2022-4-3 16:45:32

大猫发表于 2022-4-3 16:42
根证书交叉了globalsign吗

交叉了
完整的链为：

GlobalSign Root CA - R1 1998-2028
GTS Root R1 2020-2028
GTS CA 1P5 2020-2027

大猫 · 发表于 2022-4-3 16:46:54

iks 发表于 2022-4-3 16:45
交叉了
完整的链为：

交叉了就兼容性还可以

kuso · 发表于 2022-4-3 20:06:57

不錯用~
使用dehydrated這個acme clinet端也可以簽發證書

kalagxw · 发表于 2022-4-6 22:27:32

#注册账户需要先获批资格
acme.sh --register-account -m abuse@google.com --server google \
--eab-kid xxxxxx \
--eab-hmac-key xxxxxxxx

#设置默认CA
acme.sh --set-default-ca --server google

#签发证书
acme.sh --issue --dns dns_cf -d '*.moeking.me' -d moeking.me --days 60 -k ec-256

#-k表示指定密钥长度 --days表示有效期

		自动登录	找回密码
密码			注册