这是一个创建于 1445 天前的主题,其中的信息可能已经有所发展或是发生改变。
发个福利!第一个大陆 OCSP 的自动续期证书机构!
如何使用
常见 ACME 客户端指定 server 参数为 https://acme.pki.plus/acme/directory 就可以
用爱发电,我们是专业的
测试
~$ acme.sh --issue -d 1.pki.plus -d 2.pki.plus -d \*.wildcard.pki.plus --dns dns_cf --dnssleep 3 --server https://acme.pki.plus/acme/directory -m [email protected] [2021 年 12 月 15 日 星期三 15 时 41 分 11 秒 CST] Using CA: https://acme.pki.plus/acme/directory [2021 年 12 月 15 日 星期三 15 时 41 分 11 秒 CST] Creating domain key [2021 年 12 月 15 日 星期三 15 时 41 分 11 秒 CST] The domain key is here: /Users/my/.acme.sh/1.pki.plus/1.pki.plus.key [2021 年 12 月 15 日 星期三 15 时 41 分 11 秒 CST] Multi domain='DNS:1.pki.plus,DNS:2.pki.plus,DNS:*.wildcard.pki.plus' [2021 年 12 月 15 日 星期三 15 时 41 分 11 秒 CST] Getting domain auth token for each domain [2021 年 12 月 15 日 星期三 15 时 41 分 32 秒 CST] Getting webroot for domain='1.pki.plus' [2021 年 12 月 15 日 星期三 15 时 41 分 32 秒 CST] Getting webroot for domain='2.pki.plus' [2021 年 12 月 15 日 星期三 15 时 41 分 32 秒 CST] Getting webroot for domain='*.wildcard.pki.plus' [2021 年 12 月 15 日 星期三 15 时 41 分 32 秒 CST] Adding txt value: 95_O6t7yXmwDRCjaMN4pvEuEDkNTTGLhkEmXvHB4Fdk for domain: _acme-challenge.1.pki.plus [2021 年 12 月 15 日 星期三 15 时 41 分 33 秒 CST] Adding record [2021 年 12 月 15 日 星期三 15 时 41 分 33 秒 CST] The txt record is added: Success. [2021 年 12 月 15 日 星期三 15 时 41 分 33 秒 CST] Adding txt value: DciaM0Yf2NZuFA2V0P9nH4hb0rUPn8a4ASoCPlEl8m4 for domain: _acme-challenge.2.pki.plus [2021 年 12 月 15 日 星期三 15 时 41 分 34 秒 CST] Adding record [2021 年 12 月 15 日 星期三 15 时 41 分 34 秒 CST] The txt record is added: Success. [2021 年 12 月 15 日 星期三 15 时 41 分 34 秒 CST] Adding txt value: qKzvMFoysWeyq2tH1__y-xOdgc1bIG1X3x0h_IZB_oo for domain: _acme-challenge.wildcard.pki.plus [2021 年 12 月 15 日 星期三 15 时 41 分 35 秒 CST] Adding record [2021 年 12 月 15 日 星期三 15 时 41 分 35 秒 CST] The txt record is added: Success. [2021 年 12 月 15 日 星期三 15 时 41 分 35 秒 CST] Sleep 3 seconds for the txt records to take effect [2021 年 12 月 15 日 星期三 15 时 41 分 40 秒 CST] Verifying: 1.pki.plus [2021 年 12 月 15 日 星期三 15 时 41 分 40 秒 CST] Success [2021 年 12 月 15 日 星期三 15 时 41 分 40 秒 CST] Verifying: 2.pki.plus [2021 年 12 月 15 日 星期三 15 时 41 分 41 秒 CST] Success [2021 年 12 月 15 日 星期三 15 时 41 分 41 秒 CST] Verifying: *.wildcard.pki.plus [2021 年 12 月 15 日 星期三 15 时 41 分 42 秒 CST] Success/span> [2021 年 12 月 15 日 星期三 15 时 41 分 42 秒 CST] Removing DNS records. [2021 年 12 月 15 日 星期三 15 时 41 分 42 秒 CST] Removing txt: 95_O6t7yXmwDRCjaMN4pvEuEDkNTTGLhkEmXvHB4Fdk for domain: _acme-challenge.1.pki.plus [2021 年 12 月 15 日 星期三 15 时 41 分 43 秒 CST] Removed: Success [2021 年 12 月 15 日 星期三 15 时 41 分 43 秒 CST] Removing txt: DciaM0Yf2NZuFA2V0P9nH4hb0rUPn8a4ASoCPlEl8m4 for domain: _acme-challenge.2.pki.plus [2021 年 12 月 15 日 星期三 15 时 41 分 45 秒 CST] Removed: Success [2021 年 12 月 15 日 星期三 15 时 41 分 45 秒 CST] Removing txt: qKzvMFoysWeyq2tH1__y-xOdgc1bIG1X3x0h_IZB_oo for domain: _acme-challenge.wildcard.pki.plus [2021 年 12 月 15 日 星期三 15 时 41 分 46 秒 CST] Removed: Success [2021 年 12 月 15 日 星期三 15 时 41 分 46 秒 CST] Verify finished, start to sign. [2021 年 12 月 15 日 星期三 15 时 41 分 46 秒 CST] Lets finalize the order. [2021 年 12 月 15 日 星期三 15 时 41 分 46 秒 CST] Le_OrderFinalize='https://acme.pki.plus/acme/order/gZ0DYcDk2Cy5XruW/finalize' [2021 年 12 月 15 日 星期三 15 时 41 分 47 秒 CST] Order status is processing, lets sleep and retry. [2021 年 12 月 15 日 星期三 15 时 41 分 47 秒 CST] Retry after: 30 [2021 年 12 月 15 日 星期三 15 时 42 分 18 秒 CST] Polling order status: https://acme.pki.plus/acme/order/gZ0DYcDk2Cy5XruW [2021 年 12 月 15 日 星期三 15 时 42 分 19 秒 CST] Downloading cert. [2021 年 12 月 15 日 星期三 15 时 42 分 19 秒 CST] Le_LinkCert='https://acme.pki.plus/acme/order/gZ0DYcDk2Cy5XruW/download' [2021 年 12 月 15 日 星期三 15 时 42 分 19 秒 CST] Cert success. -----BEGIN CERTIFICATE----- MIIHMzCCBRugAwIBAgIQchUqh9zgJYk5qMYrkjV1zjANBgkqhkiG9w0BAQsFADBZ MQswCQYDVQQGEwJHQjEbMBkGA1UECgwSUXVhbnR1bSBDQSBMaW1pdGVkMS0wKwYD VQQDDCRRdWFudHVtIFNlY3VyZSBTaXRlIERWIFRMUyBDTiBSU0EgUjEwHhcNMjEx MjE1MDczMjA1WhcNMjIwMzE1MDczMjA1WjAVMRMwEQYDVQQDDAoxLnBraS5wbHVz MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA+DtUNqSY1DzshQU1mocm s0e3b40nty/zrbG6d8dJP3U6h5XarkgNIIyJN4WP0MMfWbqgidq1lqTdulGXdyfr Oge+a28uO1+jJQtapp99RZW9jnbeJS7xDPlDgwz4mSKo3DfGFnEjZNy+af+gdB71 MV7V31U/jqfMEzqvVbfSQj+NGEzgkGaCw6iYruP6BlUJBgVLKNeFgSiHG4AW1c8n +A8gSRYeBIpLRNcYZ7rM/ABuZM01EqXt8LBTmlA4AMoGwYp+GnjTeKAbDE5ULcix 0FU8bDfsaNSdED4KRc+orrwCbvbfMngikQN9JEHhm1yKzZHtiWw5m/XG1MdsT8oS 2QIDAQABo4IDOTCCAzUwHwYDVR0jBBgwFoAUZljKZdp3iUBWnSe4qzAUE+OFoPMw cQYIKwYBBQUHAQEEZTBjMD4GCCsGAQUFBzAChjJodHRwOi8vY3J0LnNzbGNvbS5j bi9RdWFudHVtLUNOLURWVExTLUktUlNBLVIxLmNlcjAhBggrBgEFBQcwAYYVaHR0 cDovL29jc3Auc3NsY29tLmNuMDYGA1UdEQQvMC2CCjEucGtpLnBsdXOCCjIucGtp LnBsdXOCEyoud2lsZGNhcmQucGtpLnBsdXMwUQYDVR0gBEowSDAIBgZngQwBAgEw PAYMKwYBBAGCqTABAwEBMCwwKgYIKwYBBQUHAgEWHmh0dHBzOi8vd3d3LnNzbC5j b20vcmVwb3NpdG9yeTAdBgNVHSUEFjAUBggrBgEFBQcDAgYIKwYBBQUHAwEwQwYD VR0fBDwwOjA4oDagNIYyaHR0cDovL2NybC5zc2xjb20uY24vUXVhbnR1bS1DTi1E VlRMUy1JLVJTQS1SMS5jcmwwHQYDVR0OBBYEFLBkTUWKYQmeLFkA3o9hAViPr6VT MA4GA1UdDwEB/wQEAwIFoDCCAX8GCisGAQQB1nkCBAIEggFvBIIBawFpAHYAVYHU whaQNgFK6gubVzxT8MDkOHhwJQgXL6OqHQcT0wwAAAF9vQqR8wAABAMARzBFAiEA 9j5vQmkaCdq3bmawovUj7KetV4L+Ox4Noh3x2H0RMrcCID0+QC1QfFR7k04UROxs ydhEnRNSm40tg45hi9c7j5USAHcAKXm+8J45OSHwVnOfY6V35b5XfZxgCvj5TV0m XCVdx4QAAAF9vQqRvgAABAMASDBGAiEA/jy8EM4gLoh7mdbk/8J8pgsus22JbtX4 05e8ZmLZJRkCIQCgfJCX5scJ5BwtZyamgbfY1fnPY7wMhQE9ayW9uN2OlwB2AEHI yrHfIkZKEMahOglCh15OMYsbA+vrS8do8JBilgb2AAABfb0KkYwAAAQDAEcwRQIg HRf/bSqpbuo4r99qWV2JQ17rjVJHDyTnx0X1NEeii8sCIQCCOuxGK0a7SNW4lF33 jBdb99KVAPJuq3c+7AdRmOkH+jANBgkqhkiG9w0BAQsFAAOCAgEAWAxIoh/NgH7r 3Lw+12/6cRkhDrc0esFkWRdtde19I7hMqsC6jcMkbfBDHxjiCQ2gp75ioV7H3DsH TWKie0q96L1DchDLDoWDHdO7s46i1pKfIEVZ9RDLxFrSNzbPd2HhGhPx0nJ7esdw cmyRslZjZgXk4f8V6d8jSwUh1hGo/QydSQ6uZplzGTmVWPs4buUdwJOBnIONl6QU P046gLgShgBhPt2Cfo0/vGRzRuPZl06aXcOxmau0yWKRGL9XGdSQTNwrojd2dUqe orUujrBen9mFnY0D4IVe1w8dE9kZq8vXhSoF7VeMLk6OpJbq4z99HEZv54nuIlv2 L+vtABmSyefxEtF2PwAs+mUnqeWGKMkXOkma+nGzU/v9Lr1SifFbOPUD2jPAs4f gAdyes3fTIhAtLUtNvN7IYF52bSZl45kz6CCYTK6dkcwGHkQjNS/Lfn//Ac/b6IU vlCLPwiBT+pfwpUsMAWjOG/qfOG+0D7ie0kIoHfesSGzL0WqhuNF46vMtC7GoUv/ PO/WWHNmzmKmfl+FtWGUQm1DCKK1BarzQEPgaNzcZBgJK5S60jX6eKpVytAgErbA HcXNh6aTJgf59M1WuQRDVfex368x3v8SXKxUXieH+e+Yaf7Senpcj2FPnOAoGtZa 0h4HtzNqoKj4kWiAPB9XDfJWj5pUCsQ= -----END CERTIFICATE----- [2021 年 12 月 15 日 星期三 15 时 42 分 19 秒 CST] Your cert is in: /Users/my/.acme.sh/1.pki.plus/1.pki.plus.cer [2021 年 12 月 15 日 星期三 15 时 42 分 20 秒 CST] Your cert key is in: /Users/my/.acme.sh/1.pki.plus/1.pki.plus.key [2021 年 12 月 15 日 星期三 15 时 42 分 20 秒 CST] The intermediate CA cert is in: /Users/my/.acme.sh/1.pki.plus/ca.cer [2021 年 12 月 15 日 星期三 15 时 42 分 20 秒 CST] And the full chain certs is there: /Users/my/.acme.sh/1.pki.plus/fullchain.cer OCSP 性能评测:
对比之下海外机构,包过付费 Sectigo 证书的 OCSP 都是要 500 毫秒以上
wget https://crt.sh/\?d\=5711085653 -O quantumca-user.crt wget https://crt.sh/\?d\=4089178243 -O quantumca-ca.crt for i in $(seq 0 10); do openssl ocsp -issuer quantumca-ca.crt -cert quantumca-user.crt -nonce --reqout - | curl http://ocsp.sslcom.cn -s -H 'Content-type: application/ocsp-request' -X POST --data-binary @- -w "Total time: %{time_total}\n" done > Total time: 0.028411 > Total time: 0.013579 > Total time: 0.014744 > Total time: 0.013982 > Total time: 0.015370 > Total time: 0.012121 > Total time: 0.012970 > Total time: 0.014744 > Total time: 0.015144 > Total time: 0.015726 > Total time: 0.013049 wget https://crt.sh/\?d\=1205293401 -O sectigo-user.crt wget https://crt.sh/\?d\=1282303295 -O sectigo-ca.crt for i in $(seq 0 10); do openssl ocsp -issuer sectigo-ca.crt -cert sectigo-user.crt -nonce --reqout - | curl http://ocsp.sectigo.com -s -H 'Content-type: application/ocsp-request' -X POST --data-binary @- -w "Total time: %{time_total}\n" done Total time: 0.475027 Total time: 0.883063 Total time: 0.463176 Total time: 1.403743 Total time: 1.464955 Total time: 0.463922 Total time: 0.462206 Total time: 0.445534 Total time: 0.472526 Total time: 0.468809 Total time: 0.461183 特殊说明
目前是试运行阶段,受限于法规政策、CA 商务合作等关系约束,运营策略可能会变动
 | 1 wzhpro 2021-12-15 18:50:08 +08:00 不敢用 |
 | 2 stevenhawking OP @wzhpro 只要你做的站点内容是合法的为啥不敢呢 |
 | 3 oott123 2021-12-15 20:41:12 +08:00 via Android  1 你这个运营策略可能会变动让人就不敢用了,连承诺都不敢给。 |
| 4 stevenhawking OP @oott123 无所谓的,说了用爱发电,又不靠这个赚钱,免费的哪来承诺? |
 | 5 isCyan 2021-12-16 10:39:57 +08:00 via Android 确实免费没有承诺。但是用户总是偏好看上去稳定的嘛。 |
 | 6 lvsemi1 2021-12-16 12:16:27 +08:00 不是挺合理的麽,各种承诺给足半个月跑路没见过? |
 | 7 Shiroka 2021-12-21 10:49:11 +08:00 via iPhone 高情商:证书链与 AWS Certificate Manager 比肩 低情商:证书链太长了 说实话,把证书链缩短一点比 OCSP 快多少多少更重要。毕竟 OCSP 并不是必要的,但是证书链不可或缺。重视它的站长应该也会用 OCSP Stapling 来改善查询缓慢或者超时的问题。 |
| 8 stevenhawking OP @Shiroka 并非所有服务商和客户端都支持 OCSP Stapling 标准。比如阿里云 WAF 、深信服等厂商是不支持的,甚至有些情况下 APN 都不支持 OCSP Stapling 。 AWS Certificate Chain 过长是为了保证兼容收购了 StartfieldTech 的一个 Root ,给自己做了交叉;因此自己的 Rroot (被 StartfieldTech) 必须放到链上。我们的情况类似,要将 Certum 交叉的 Root 须放到链上。 我们觉得一次 TLS 握手多消耗 1 点几 KB 流量,相比于兼容性回报是值得的(我们能兼容 2002 年的设备客户端, 如果其支持 SHA256 + RSA 4096 的话)。 |
 | 9 woaihsw 2022-01-10 20:13:12 +08:00 您这属实是在逗我, 这才二十多天, acme.pki.plus 就没解析了... 就这还想拉人去用... |
| 10 stevenhawking OP |
Select Language