阻止证书颁发机构服务器

Question 1

您不能通过阻止防火墙中的特定 IP 地址或主机名来阻止 CA 颁发的证书。

一旦颁发了证书，使用该证书的服务或访问该服务的客户端都不需要联系 CA 即可使用该证书进行安全通信。

（这是一种简化：例如检查证书的撤销状态确实需要联系 CA，但据我所知，通常在无法检查撤销状态时，假定该证书有效。）

Answer

您不能通过阻止防火墙中的特定 IP 地址或主机名来阻止 CA 颁发的证书。

一旦颁发了证书，使用该证书的服务或访问该服务的客户端都不需要联系 CA 即可使用该证书进行安全通信。

（这是一种简化：例如检查证书的撤销状态确实需要联系 CA，但据我所知，通常在无法检查撤销状态时，假定该证书有效。）

Question 2

如果您想阻止 letsencrypt（或任何 CA）为您的域颁发证书并且您控制自己的 DNS，请在您的域内发布 CAA 记录。

因此，如果你想阻止所有 CA，你可以添加类似以下的记录

example.com.    IN      CAA     0 issue ";"

假设我有一台运行着 10 个虚拟 vps 的服务器，我想屏蔽任何 letsencrypt 请求，以防止验证证书

如果您正在运行所有 Web 服务器，您可以通过调整 Web 服务器来阻止对位置的访问，从而阻止 HTTP-01 质询/.well-known/acme-challenge/。如果您在传入流量上设置了反向代理或 Web 过滤器，您也可以在那里阻止这些 URL。

Answer

如果您想阻止 letsencrypt（或任何 CA）为您的域颁发证书并且您控制自己的 DNS，请在您的域内发布 CAA 记录。

因此，如果你想阻止所有 CA，你可以添加类似以下的记录

example.com.    IN      CAA     0 issue ";"

假设我有一台运行着 10 个虚拟 vps 的服务器，我想屏蔽任何 letsencrypt 请求，以防止验证证书

如果您正在运行所有 Web 服务器，您可以通过调整 Web 服务器来阻止对位置的访问，从而阻止 HTTP-01 质询/.well-known/acme-challenge/。如果您在传入流量上设置了反向代理或 Web 过滤器，您也可以在那里阻止这些 URL。

相关内容