博主呓语:

Let's Encrypt 发布 ACME v2,开始测试通配符证书

Posted by 破冰 on 2018-1-9 16:43 Tuesday

免费数字证书颁发机构 Let's Encrypt 发布了 ACME v2 协议 API 端点,正式宣布开始测试支持签发通配符数字证书的 ACME V2 版 API 接口。

可以使用以下的目录 URL 开始为你的客户端测试对于 ACME v2 的支持:

https://acme-staging-v02.api.letsencrypt.org/directory

要注意的是,由于临时的环境根证书不存在于浏览器/客户端信任库中,所以该端点不适合用于生产环境。准备好用于生产环境的 v2 API 端点将于 2 月 27 日发布

ACME V2 不是一个向后兼容的版本,所以 ACME v1 客户端(几乎所有今天使用的客户端)将不能与 ACME v2 端点一起使用。现有的客户端需要更改代码和使用新版本才能支持 ACME v2。

v2 vs v1

ACME v2 与 v1 API 有许多不同之处,值得注意的变更:

  1. 授权/签发流程已改变

  2. JWS 请求授权以改变

  3. JWS 请求体的"resource"字段被新的 JWS 请求头“url”替换

  4. 目录端点/资源重命名

新版开始提供通配符证书的签发:

2017 年 7 月时 Let's Encrypt 宣布将在 2018 年年初时提供通配符证书,目前在 2018 年首周已经开始测试通配符证书。

目前已上线正在测试阶段的 V2 API 接口,开发者可通过该 API 接口申请通配符证书,不过该 API 接口尚处于测试阶段,所以可能还有些问题。

普通用户暂时可以先观望等一等,直到正式上线。有兴趣的开发者现在不妨去下载和测试新版 API 接口以体验一番。

新版 API 接口内容请看:https://community.letsencrypt.org/t/staging-endpoint-for-acme-v2/49605

通配符证书解释:

域名通配符证书类似 DNS 解析的泛域名概念,主域名签发的通配符证书可以在所有子域名中使用。

通配符证书的优势:

域名通配符证书最大的特点就是申请之后可以部署在子域名使用, 因此对于子域名,没有必要再次申请新的证书。而价格方面,通配符域名证书通常会比单域名证书高几倍, 不过价格高的主要原因自然是使用的便利性。

发表评论: