Let’s Encrypt 宣布 ACME v2 正式支持通配符证书。
证书周期仍然为3个月,通配符证书需要acme.sh dnsapi模式.
以前的certbot验证方式只是从单域名的DNS模式。
Let’s Encrypt 宣布 ACME v2 正式支持通配符证书。Let’s Encrypt 宣称将继续清除 Web 上采用 HTTPS 的障碍,让每个网站轻松获取管理证书。
v2 vs v1
ACME v2 与 v1 API 有许多不同之处,值得注意的变更:
- 授权/签发流程已改变
- JWS 请求授权以改变
- JWS 请求体的”resource”字段被新的 JWS 请求头“url”替换
- 目录端点/资源重命名
ACMEv 是 ACME 协议的更新版本,考虑到行业专家和其他组织可能希望在某天使用 ACME 协议进行证书颁发和管理,它已经通过 IETF 标准流程。
通配符证书 允许使用单个证书来保护域的所有子域。在某些情况下,通配符证书可以使证书更容易管理,以帮助使 Web 达到 100% 的 HTTPS 协议。但是对于大多数用例,Let’s Encrypt 仍然推荐使用非通配符证书。
通配符证书只能通过 ACMEv2 获得。为了将 ACMEv2 用于通配符或非通配符证书,你需要一个已更新且支持 ACMEv 的客户端。Let’s Encrypt 希望所有客户和订户转换为 ACMEv2,尽管 ACMEv1 API 还没有“报废”。
另外,通配符域必须使用 DNS-01 质询类型进行验证。这表明你需要修改 DNS TXT 记录才能演示对域的控制以获得通配符证书。
更多有关 ACME v2 和通配符证书的技术信息,请参阅此文章:
- https://community.letsencrypt.org/t/acme-v2-production-envrionment-wildcards/55578
通配符证书解释:
域名通配符证书类似 DNS 解析的泛域名概念,主域名签发的通配符证书可以在所有子域名中使用。
通配符证书的优势:
域名通配符证书最大的特点就是申请之后可以部署在子域名使用, 因此对于子域名,没有必要再次申请新的证书。
而价格方面,通配符域名证书通常会比单域名证书高几倍, 不过价格高的主要原因自然是使用的便利性。
