为了实现最大程度的兼容性,我想使用简单的 DV PositiveSSL 证书,类似于 Let's Encrypt 所做的。
但最令人头疼的是,我找不到任何可以在时间到来时自动更新的东西,比如 certbot/Let's Encrypt。
是否有其他 CLI/脚本选项可以自动续订付费 SSL 证书,而无需我手动续订
- 粘贴我的 CSR 文件
- 等待电子邮件确认
- 等待电子邮件以获取我的证书
- 粘贴我的服务器上的证书文件的内容
- 重启 Apache
Certbot 使其变得非常简洁,但只适用于 Let's Encrypt(2016 年 9 月之后,与稍旧的浏览器/操作系统的兼容性大大降低)。
答案1
但仅适用于 Let's Encrypt
不,事实并非如此。尽管 LE 是 Certbot 的默认服务,但其他一些 CA 也实施了相同的 ACMEv2 颁发协议。例如,我已经将其用于 Sectigo OV 证书(今年早些时候曾出现过非常类似的交叉签名问题)和 DigiCert OV。
(您只需在 Certbot 中指定不同的“--server”URL,并在首次注册 ACME 帐户时提供“--eab-hmac-key”以将其与您在该服务上的实际订购帐户关联,这是专门为商业运营商使用而添加的功能。)
这同样适用于所有其他 ACMEv2 客户端,而不仅仅是 Certbot。支持此协议的 CA 列表很短但并非为零,而且随着浏览器最近不断缩短证书有效期(强调自动续订),它只会越来越长。
除了 ACME 之外,一些 CA 还提供较旧的 SCEP 协议以及自定义订购 API(DigiCert 有二)。 这些可能但仅限于批量/企业计划,并且您在寻找可用的客户时会遇到更多困难。