国内云厂应该再没有免费的一年前证书了吧

华为云有免费的一年的

cert-manager/caddy/traefik 可以用起来了，公网可以访问 80 和 443 的话，使用 HTTP-01 challenge 还是挺简单的。访问端口受限可以使用 DNS-01 challenge ，DNS API 操作受限还可以使用 acme-dns ，通过 CNAME 绕一下。
另外，业务证书监控还是要加一下。

搞个面板管理网站, lets encrypt 自动续签 , 或者直接丢给 cloudflare 代理

云上的服务都有 API ，拿第一方的命令行工具（配合 jq ）可以很方便的上传、替换证书的

所以这玩意对云厂商来说成本高吗，为什么之前提供现在不提供

1 、cf 15 年域名证书
2 、freessl 这种第三方的
3. acme 自动续期

acme 丢那自动续签去。

刚发现证书变 3 个月了，还好我有自动续签

腾讯云还有 1 年的， 在控制台里面

@810244966 华为云没了吧， 我咋没找到， 上面的通告早在去年就只 3 个月了。

吓出一身冷汗，突然想起来自己已经跑路去 vercel 了...

mark 很多项目用了证书是在代码里配置的 改成 3 个月太难受 https 证书应该是普及安全而不是云厂商的敛财工具

目前痛点就是 CDN 上的证书得三个月跑上去手动更新一次，太麻烦了，是不是可以有什么工具自动通过 API 对接更新如阿里云/腾讯云的 CDN SSL 证书

@jackrebel @dodakt @lichao 说的就是腾讯云，4 月 25 日前还能申请一年期，之后就只能 3 个月了

圈内基本都改成 90 天，不是某一家，理由是短期安全+跟着谷歌搞

腾讯云
免费 SSL 证书有效期由 12 个月调整至 3 个月。2024 年 4 月 25 日零点以后，在腾讯云申请的免费 SSL 证书有效期由 12 个月调整至 3 个月（ 2024 年 4 月 25 日以前签发的证书有效期不变）。

@longsays 我去，还真是

@xmumiffy 腾讯云的 EdgeOne 有这个功能，但我有点不想用了

@stimw 这几家云厂商都是看上游脸色，比如腾讯的上游是亚信，阿里是天威好像
主要问题是他们没自己跟 CA 谈，要不其实一年免费证书还能拿到

都是 TrustAsia 下游自然都受影响，唯独区别是谁先谁后

@kilvn 1 、cf15 年仅限 cf 网络，公共网络不信任。
2 、freesll 这种第三方免费一年证书一般也是用的亚洲诚信。
3 、acme 协议的工具还是挺方便的，很多都支持回调自定义脚本或命令。

@isaced cdn 不自动续签确实恶心。不过目前又拍云是支持自动续签的。

理论上 cdn 厂商支持 ssl 证书自动续签并不复杂，不知道什么原因某些厂商就是不支持

谁来有空来搞个开源的工具，支持调用各种公有云的 api 接口，来替换 slb ，waf ，cdn 上的证书

@eber 我们自己弄了 k8s acme 证书续签，更新阿里云 cdn 证书

这块的主流方向就是缩短有效期+ACME 自动续期，这算是 CA/B 论坛推的方向。
因为现有的 CRL/OCSP 不太符合业界发展方向，缩短有效期可以有效减少对这俩的依赖。

@tom8 阿里云 cdn 证书能自动更新证书吗？怎么做到的？

@idontnowhat2say 之前想搞过，acme 的库做好了，UI 也做了一半，后来放弃了。生活所迫。

要么 30 买个 alpha ssl 的一年通配符算了
要么 acme 三个月也不是不能用

@eber
证书的自动化签发校验仅限 DV ，校验方式为 DNS 或验证文件。
DNS 的校验方法，一般只靠 CNAME 解析的 CDN 厂商是不具备条件的，而要像 CF 这样 NS 全接管的才行，而且通配符的证书是必须 DNS 校验。
至于验证文件模拟访问校验，CDN 厂商通过更改特定目录文件的方式自动更新，但这样一来会存在篡改客户网页内容的指控，这不是靠客户授权或证明的方式可以洗脱的。
综上，要么干，如果纠结页面篡改的问题，那就别干

@mytsing520 貌似是这个道理，国内 CDN 厂商实操上基本都不是 NS 全接管的

@mytsing520 像 fly.io 一样 cname 一个 _acme-challenge 开头的子域名就能自动颁发了

谷歌在推强制 3 个月有效期的 ssl ，所以顺势而为

@shiny cloudflare 的 SaaS 接入就是这种，不过这种如果你自己申请证书的时候就麻烦了，还有种可能在两个不同的 CDN 厂商

@mozhizhu 说句现实的 主要还是能收点钱

请教一下，lets encrypt 和阿里云申请的证书有啥区别呀
用起来 lets encrypt 更爽啊，没有人工工作量

@isaced
自己按照文档写一个就好了
我写的很凌乱 不过能用就好
https://whzxc.cn/z.txt?v=3

@vjnjc
lets encrypt 需要一定的技术知识

@vjnjc 马上 lets 就快有兼容性问题了，和 identrust 不交叉了

@vjnjc lets 马上有兼容性问题，换 google 的三个月吧

3 个月证书，购买就能 1 年，根证书 15 年有效期才是最麻烦的。
t/1016839

CA/B 就是麻烦制造者。

@salmon5 #52 如果你不理解缩短证书有效期的意义，那么你的场景不适合用 tls,直接裸 http 明文或者自己硬编码 pre shared key 比较好。

@SilentOrFight 大佬，问一下，续签后还需要重新上传密钥 和私钥那些东西吗？因为很多证书都是在云平台使用。

幸好刚续了一年

@eber 因为想卖收费证书

我的想法是：服务器上的由脚本或者面板续签，CDN 那边目前还提供一年期的证书，暂且用着吧。要是以后 CDN 那边也只最长三个月了，那就挺麻烦的。

@lcy630409 感谢你的代码，稍微改了下，已经跑在家里的树莓派上，非常满意。

https://gist.github.com/qgy18/c7b1d2b61377c9ea888cd90160b348b3

lego 试试

@lianxiaoyi #55 这只是自己加一下后续脚本导出，自己手动上传

@lichao k8s 中 cert-manager 会自动更新证书，保存到 sercet 中，通过 k8s api 拿到 sercet 中证书，检测证书的时间，调用阿里云 cdn api 更新证书

@tom8 感谢，搜到阿里云 cdn api 的文档了