“未使用的证书额度(即尚未绑定域名签发的资格)无时间限制，可长期保留直至用完”。

我截图发给阿里云的商务经理，他说他问了产品经理，这个有效期一年，他建议我少买几张。

想多屯点是因为 9 月份政策好像又要变，以及审批流程很烦。

Windows Edge/Chrome/Firefox 都可以正常访问，浏览器地址栏安全锁显示正常

iPhone Safari 提示“Safari 浏览器打不开该网页，因为已丢失网络连接。”

iPhone Edge 提示“此站点的连接不安全”

MacOS Safari 提示“Safari can't open the page "https://<mydomain>/xx/xxx" because Safari can't establish a secure connection to the server "<mydomain>"”.

问了 OpenAI 家，目前一直在 tls 方向上努力

在服务器

]# openssl s_client -connect 127.0.0.1:443 -servername <mydomain> -tls1_2 ]# openssl s_client -connect 127.0.0.1:443 -servername <mydomain> -tls1_3 

都可以正常输出 Protocol 、Cipher 、证书链、证书等信息

New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384 SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384 

New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384 SSL-Session: Protocol : TLSv1.3 Cipher : TLS_AES_256_GCM_SHA384 

在本机（ Windows wsl/MacOS Terminal ） 具体信息如下

$ openssl s_client -connect <myip>:443 -servername <mydomain> -tls1_2 CONNECTED(00000003) write:errno=0 --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 0 bytes and written 213 bytes Verification: OK --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session: Protocol : TLSv1.2 Cipher : 0000 Session-ID: Session-ID-ctx: Master-Key: PSK identity: None PSK identity hint: None SRP username: None Start Time: 1747836333 Timeout : 7200 (sec) Verify return code: 0 (ok) Extended master secret: no --- 

$ openssl s_client -connect <myip>:443 -servername <mydomain> -tls1_3 CONNECTED(00000003) write:errno=0 --- no peer certificate available --- No client certificate CA names sent --- SSL handshake has read 0 bytes and written 240 bytes Verification: OK --- New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated Early data was not sent Verify return code: 0 (ok) --- 

ECS 后台安全组确认过没问题，443 端口全放

OS 部署的 AlmaLinux 9

Nginx 信息

]# nginx -V nginx version: nginx/1.27.5 built by gcc 11.5.0 20240719 (Red Hat 11.5.0-5) (GCC) built with OpenSSL 3.2.2 4 Jun 2024 TLS SNI support enabled 

有没有大佬有什么思路，指导一下~~

相比大家心理预期的免费到白送肯定是做不到了。

没啥业务流量的，真心建议自己手搓 ACME.SH 去签 Let’s Encrypt 就行了。

如果是企业使用，或者网站还是有一定访问量，需要商业证书，我丢点优惠码吧。

使用方法： https://www.knowsafe.com/help/1ecbedd8555915decaa4990d275f6ae2.shtml

2374862BFBF5C45F C6A6ADFE319BAA16 F03047240C47AB7D E401EF316DE0023D 7FC114484AC40EDA

不够用直接私聊喊客服，就说 V2EX 过来的。

申请地址:www.ssl-zs.cc 两年有优惠（ 10 个通配符+，py 更优惠）

想知道这是这么获得的？是用了 api 自定义 ca 吗？还是只有付费的 acm 才有？

这家免费一年 SSL 证书但是一个人限额 3 个： https://my.dnshe.com/cart.php?gid=4

近日，在秋季 CA/B 论坛面对面会议上，Apple 透露，它已向 GitHub 发布了一份征求意见的投票表决草案。该草案提议从现在到 2027 年逐步将公共 SSL/TLS 证书的最大期限缩短至 45 天，并逐步缩短 DCV （域控制验证）的重用期限，直到 2027 年达到 10 天。

本质上，这意味着网站所有者需要更频繁地更换用于 HTTPS 连接等所需的新证书，以便浏览器继续信任它们。Apple 的这项提案很可能在未来几个月内交由 CA/B 论坛成员进行投票。

提案通过后的影响

目前，公共 SSL/TLS 证书的最长有效期为 398 天。一旦该提案通过，将无疑大大增加证书管理的工作量。对于规模较大的企业而言，如何有效应对频繁的证书更新将成为新的挑战。

短效 SSL 证书的现状

目前，免费的短效 SSL 证书仍然是许多中小企业以及个人开发者的首选。然而，短效 SSL 证书虽然免费，但由于其时效较短，需要及时维护。若未及时更新，可能会因为证书过期而造成业务损失。

SSL 证书的自动化管理工具

有没有工具能够以自动化的方式来申请、续期和撤销 SSL 证书，减少人工维护？答案是有的，ACME （ Automatic Certificate Management Environment ）协议提供了一种自动化的解决方案。ACME 协议可以显著简化证书管理流程，网站管理员可以：

• 自动申请新的 SSL 证书
• 在证书即将过期时自动续期
• 轻松管理多个域名的证书
• 减少人为错误，提高安全性

目前，ACME 协议已经非常成熟，支持的客户端也非常多，比如 certbot 、acme.sh 、lego 等。使用这些 ACME 客户端能够轻松实现证书的自动化管理。

FreeSSL 的自动化管理服务

freessl.cn 最近也上线了证书自动化管理服务。通过 ACME 客户端，使用 freessl 的证书自动化管理服务，你可以轻松进行免费证书申请、续期和部署，整个过程完全免费。欢迎大家体验，点击进入 FreeSSL ACME 引导。

https://groups.google.com/a/ccadb.org/g/public/c/29CRLOPM6OM/m/-tvW5l-lAAAJ

certum.cn

好像 Sectigo 多送一个月

Create new order error. Le_OrderFinalize not found. {"type":"urn:ietf:params:acme:error:rejectedIdentifier","detail":"Problem(s) occurred while validating identifiers within the new-order request, see the subproblems field for specifics.","subproblems":[{"type":"urn:ietf:params:acme:error:rejectedIdentifier","detail":"Could not issue x.x.x.x; IP addresses are not supported.","identifier":{"type":"ip","value":"x.x.x.x"}}],"requestID":"xxxxxx"} 

然后看到有人推荐 30 块一年的 AlphaSSL 证书，通过某商城购买密钥然后去申请。

想问一下这些证书都是怎么获得的啊，稳定不 安全不 ?

如果你在使用 SSL 证书有难题，期待一个完整的证书解决方案，请告诉我：

https://jinshuju.net/f/r2Lhqk

今天本想搜搜有关证书过期造成的事故，结果找到：

• t/327787
• t/411520
• t/411522
• t/510384

所以它这次的过期，到底是提前更换部署了但因为各种各样的缓存问题导致部分用户被过期证书威胁，还是的确就是过期了才马上补救？我发现被影响后十分钟左右就恢复了，很难相信是巧合，所以这个"恢复"更可能是阿里的操作还是我的运营商的操作？

Certificate chain 0 s:C = CN, ST = ZheJiang, L = HangZhou, O = "Alibaba (China) Technology Co., Ltd.", CN = taobao.com i:C = BE, O = GlobalSign nv-sa, CN = GlobalSign Organization Validation CA - SHA256 - G3 a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256 v:NotBefore: Apr 8 03:36:05 2024 GMT; NotAfter: May 10 03:36:04 2025 GMT 

之前在 V2EX 咨询过阿里云免费 SSL 证书的替代方案（ https://v2ex.com/t/999627 ），考虑到阿里云服务器目前的操作系统是 Windows Server 2012 ，所以基于 Linux 或者 Docker 的方案就都 pass 了。

再考虑到自动化更新 SSL 证书的需求，所以在经过一番调研之后，最终确定使用 win-acme （ https://www.win-acme.com/ ）来完成这一工作。因为虽然 Caddy 也能完成这项工作，但是还需要把在 IIS 中配置好的网站再重新配置一遍，还不知道会有什么新问题。本着尽量不要增加复杂度的理念，所以就没有采用 Caddy 。

由于网站前面还有一层阿里云 WAF （ Web 应用防火墙），各网站的流量都是先由 WAF 检查一遍，过滤掉非法请求之后，才能最终到达服务器。而要使用 WAF 的话，各域名的 DNS 都是解析到 WAF 的地址上的，这也给后面的工作和问题排查带来了一些问题，不过这是后话了。

基本流程测试

把 win-acme 下载并解压到服务器上之后，运行程序，按照网上的教程一步步操作。为了不影响现有各域名上的业务，在阿里云服务器的 IIS 上配置了一个新的域名，并且在阿里云 WAF 里面接入了这个二级域名。

按照教程的操作步骤，成功用 win-acme 申请到了这个二级域名的 SSL 证书，但是默认步骤只会生成一个 Windows IIS 所需的 pfx 格式的证书。如果要让阿里云 WAF 能够正常过滤 HTTPS 流量，还需要上传证书和对应的私钥到阿里云的数字证书管理服务中，然后在阿里云 WAF 的网站接入设置中选择所上传的证书才行。这样一来，还需要让 win-acme 生成 PEM 格式的证书和私钥。

所以基础流程就是：申请证书 → 保存 PFX 格式证书 → 保存 PEM 格式证书。

配置阿里云 WAF

在用 win-acme 给各个域名申请证书的时候，在验证域名所有权的那一步，有的域名能够验证成功，有的域名就总会失败。考虑到 IIS 上各个域名的配置是一样的，又看了一下 DNS 解析也是一样的格式，那应该就是阿里云 WAF 的问题了。

对比之后发现，有的域名在阿里云 WAF 的配置中同时勾选了 HTTP 和 HTTPS 协议，但是有的只勾选了 HTTPS 协议。对于只勾选了 HTTPS 协议的域名，有的还没有开启 HTTP 到 HTTPS 的强制跳转。

加上域名的 DNS 解析是指向阿里云 WAF 的，于是猜测是 WAF 这里的设置导致了域名所有权的验证失败。于是给全部域名的 WAF 配置都同时勾选了 HTTP 和 HTTPS 协议，并且禁止了 HTTP 到 HTTPS 的强制跳转，这个时候，各个域名的所有权验证终于都能通过了。

Debug 阿里云 Cli

有了 win-acme ，SSL 证书的自动续期就搞定了。但是证书每次续期之后，还需要再把新的证书上传到阿里云的数字证书管理服务中，然后在阿里云 WAF 的网站接入设置中更新证书。既然是 Windows 系统，那就用 PowerShell 写个脚本来实现这个操作好了。

而上面的需求需要调用阿里云的 API ，如果想要用脚本来实现这一功能，就还要用到阿里云 Cli 。在配置阿里云 Cli 的用户凭证时，AccessKey 凭证和 EcsRamRole 凭证方式一开始都有问题，最后把之前的配置信息都删了，新建了一个具有 管理云盾应用防火墙（ WAF ）的权限 的用户，然后用该用户的 AccessKey 才终于成功调用了阿里云的 API 。

Debug PowerShell

在测试阿里云 API 的调用时，还遇到了一个有些隐蔽的问题，就是在阿里云的 OpenAPI 平台上测试接口调用的时候是没问题的，但是在 PowerShell 脚本中调用就是有问题。到了最后把两种方式的完整命令复制出来对比，才发现 PowerShell 的 Get-Content 命令读取到的 SSL 证书和私钥的文本，换行符都没了，这尼玛！

解决了这个问题后，续期后的新证书和私钥自动上传至阿里云并在 WAF 中更新的功能也就实现了，以后这项工作就不需要自己再手动操作了。

总结

最后再说一下完整的流程和注意事项吧。

1. 用 win-acme 申请 SSL 证书并实现自动续期。这个程序能够自动把从 IIS 中读取网站信息，申请新证书关联到对应的网站，很省心。
2. 如果用到了阿里云 WAF 之类的服务，要想防护 HTTPS 流量，就需要上传 SSL 证书和私钥，这样的话需要配置 win-acme 再额外保存一份 PEM 格式的证书和私钥。其中 -crt.pem 后缀的文件是需要导入 WAF 的证书文件，-key.pem 后缀的文件则是需要导入 WAF 的私钥文件。
3. 如果用到了阿里云 WAF 之类的服务，并且各业务域名的 DNS 都解析到了 WAF 上，那么就要在 WAF 配置中同时启用 HTTP 和 HTTPS ，并且禁止 HTTP 到 HTTPS 的强制跳转，不然有可能在域名所有权验证那一步失败。
4. 配置阿里云 Cli 的时候，如果配置的各种凭证方式都不管用，可以尝试把旧的配置都删除，包括 Cli 里的配置和阿里云网页端控制台的配置，然后重新来一遍。
5. PowerShell Get-Content 命令拿到的证书和私钥的文本会丢失换行符，可以参考 https://stackoverflow.com/a/15041925/2667665 这里的方法来解决。
6. 上传证书和私钥调用的是 WAF 中的 CreateCertificate 这个 API ，将证书关联至 WAF 中接入域名是 CreateCertificateByCertificateId API 。

Unlimited Server License 还能当价格卖

quora 上的回答为,一般证书只能安装在一台服务器(server)上,而"无限服务器许可"(Unlimited Server License)可以安装到多台服务器(Multiple Servers)上。

但是 ssl 证书 crt 和 key 不是可以随便拷贝，复制到无限的服务器上吗。难道要许可？？

看上去像是“野卡”，但是实际上不像。

“无限服务器许可证书”看上去不像野卡

参考： quora 上的回答 https://www.quora.com/While-purchasing-SSL-what-is-the-difference-between-certificates-and-licences

持久安全：相比短短三个月，我们为您提供一整年的免费 SSL 证书，为您的网站建立更持久、更可靠的安全通道。

信任加成：SSL 证书是用户信任的标志，一年的免费 SSL 证书能够让您的访问者更加信任并放心使用您的网站。

立即领取一年免费 GoGetSSL 域名 SSL 证书！（禁止用于违法行为,一经发现立即吊销证书)

购买证书： https://my.hostgn.com/cart.php?gid=15

操作简单，三步完成：

点击链接：购买 GoGetSSL DV 级域名 SSL 证书一年.。

申请 SSL 证书：点击“配置 SSL 证书”按钮，填写必要信息。

享受一年安全保护：提交申请后，验证域名所有权后。您将立即获得一年免费 SSL 证书，让您的网站得到全面的安全保护。

查资料绝大部分都是说 ecc 兼容性差一些，但都没说具体多差，只有腾讯云文档上写着“新版浏览器和操作系统均支持，但存在少数不支持的平台。例如 cPanel”，有资料说 ECC 算法从 05 年就开始被证书加密使用，都过去差不多 20 年，使用 ECC 算法加密基本能覆盖 99.999%的用户了吧。

我查了下各大网站的证书加密算法，目前发现就 V2EX 和 github 使用了 ECC ，其他的都是 RSA 。

是为了保证极少用户能正常使用，还是 ECC 相对于 RSA 节约服务器资源不多没必要换。

另外写到这突然想到各大服务商的 cdn 开始对 https 请求收费，理由是开始 https 会消耗服务器资源，但是对使用 ECC 加密的证书和使用 RSA 加密的证书收费倒是一样的。这难道也是各大网站仍在用 RSA 加密的原因之一？

然后还是有一些问题请教 v 站大？

1. 自签名的话是至少生成两张证书吗？我以为是一张 root certificate 交给客户端并添加信任列表，另外一张 server certificate 由服务器发送 server hello 。（假设不需要验证客户端身份）

2. 客户端如果要信任测试的内网服务器，是否需要问 IT 管理员要 root certificate ？我的情况还比较复杂，是 arduino 单片机作为客户端，我猜需要要到 root certificate 并且添加到 firmware 里面才能连接。

3. server certificate 包含了 CSR 信息以及数字签名？数字签名是由 CA 私钥加密的？ CSR 信息里面有服务器公钥？ root certificate 包含什么？我以为应该有 CA 公钥吧，不然客户端怎么检验数字签名？

Caused by: failed to download from https://mirrors.tuna.tsinghua.edu.cn/crates.io-index/config.json

Caused by: [35] SSL connect error (OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to mirrors.tuna.tsinghua.edu.cn:443 )

我试着运行openssl s_client -connect mirrors.tuna.tsinghua.edu.cn:443 -msg，但结果都是 Verify return code: 0 (ok) ，看起来并没有发现异常，请问这可能是什么原因导致的，应该如何解决这个问题？

申请结果如下

[Tue 21 Mar 2023 04:16:29 AM UTC] Your cert is in: /root/.acme.sh/example.com_ecc/example.com.cer [Tue 21 Mar 2023 04:16:29 AM UTC] Your cert key is in: /root/.acme.sh/example.com_ecc/example.com.key [Tue 21 Mar 2023 04:16:29 AM UTC] The intermediate CA cert is in: /root/.acme.sh/example.com_ecc/ca.cer [Tue 21 Mar 2023 04:16:29 AM UTC] And the full chain certs is there: /root/.acme.sh/example.com_ecc/fullchain.cer 

我疑惑的问题是 私钥文件是 example.com.key
那证书文件是放 example.com.cer 还是 fullchain.cer 我看网上有些说是放自己域名的 .cer 有些是放 fullchain.cer 在 nginx 配置文件里 麻烦懂的 v 友能否解答下我这个知识点吗？

点进去是 http ，手动改 s ，居然连有都没有!

网银登录也是由 http 跳转到另一个 https 的 url

因此想来问问，哪家的免费证书通用性强一点呀，别动不动就校验失败。最好有效时间长一点，续签简单一点