多设备Let’s Encrypt免费证书心得


目前来讲HTTPS是大势所趋,我之前一直用StartSSL的免费证书,但是自从被360收购后,出了一串幺蛾子,而且也不支持泛域名,后来就干脆不用了,转向了Let’s encrypt

Let’s Encrypt有个好处,只要指定了token,就可以自动从DNS运营商确认域名所属,自动颁发证书,用脚本可以做到定期更新证书,领域Let’s Encrypt可以一个证书支持多个域名/泛域名

但是有一个比较头疼的问题是,我这边终端比较多,两个lede的路由器上了https,还有若干的云服务器,如果每个客户端都从Let’s encrypt获取证书,势必需要在每个机器都安装acme工具链,可能会引起token泄露的风险,其实证书泄露倒是小事,一是我这种小站没啥攻击价值,二是let’s encrypt家证书有效期只有三个月,但是如果godaddy账户token泄露的话,将会直接影响域名的安全性。

所以一个合理的方式是一台机器用于处理证书,然后其余服务器全部从这台机器上下载,但是海外站点在国内访问并不稳定,因此用GitHub来转运证书

流程如下

云服务器(自动更新证书)–>对称加密–>更新到Github–>下载–>对称解密

这样做基本可以保证证书可以传递,又可以最大限度保证域名账号的安全性

分享到:

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注