Let’s Encrypt 宣布 ACME v2 正式支持通配符证书

Let’s Encrypt 宣布 ACME v2 正式支持通配符证书。

证书周期仍然为3个月,通配符证书需要acme.sh dnsapi模式.

以前的certbot验证方式只是从单域名的DNS模式。

Let’s Encrypt 宣布 ACME v2 正式支持通配符证书。Let’s Encrypt 宣称将继续清除 Web 上采用 HTTPS 的障碍,让每个网站轻松获取管理证书。

 

v2 vs v1

ACME v2 与 v1 API 有许多不同之处,值得注意的变更:

  1. 授权/签发流程已改变
  2. JWS 请求授权以改变
  3. JWS 请求体的”resource”字段被新的 JWS 请求头“url”替换
  4. 目录端点/资源重命名

ACMEv 是 ACME 协议的更新版本,考虑到行业专家和其他组织可能希望在某天使用 ACME 协议进行证书颁发和管理,它已经通过 IETF 标准流程。

通配符证书 允许使用单个证书来保护域的所有子域。在某些情况下,通配符证书可以使证书更容易管理,以帮助使 Web 达到 100% 的 HTTPS 协议。但是对于大多数用例,Let’s Encrypt 仍然推荐使用非通配符证书。

通配符证书只能通过 ACMEv2 获得。为了将 ACMEv2 用于通配符或非通配符证书,你需要一个已更新且支持 ACMEv 的客户端。Let’s Encrypt 希望所有客户和订户转换为 ACMEv2,尽管 ACMEv1 API 还没有“报废”。

另外,通配符域必须使用 DNS-01 质询类型进行验证。这表明你需要修改 DNS TXT 记录才能演示对域的控制以获得通配符证书。

更多有关 ACME v2 和通配符证书的技术信息,请参阅此文章:

  • https://community.letsencrypt.org/t/acme-v2-production-envrionment-wildcards/55578

通配符证书解释

域名通配符证书类似 DNS 解析的泛域名概念,主域名签发的通配符证书可以在所有子域名中使用。

通配符证书的优势

域名通配符证书最大的特点就是申请之后可以部署在子域名使用, 因此对于子域名,没有必要再次申请新的证书。

而价格方面,通配符域名证书通常会比单域名证书高几倍, 不过价格高的主要原因自然是使用的便利性。

发表评论

电子邮件地址不会被公开。 必填项已用*标注