发现了一个可以免费签 IP 地址 SSL 证书的网站

辛辛苦苦找了一天……GlobalSign 签 IP 证书需要 3000+/年，这个免费，不过需要每三个月重新申请，赶脚捡到宝了哈哈哈哈

给 IP ssl 证书意义是啥啊，和域名比起来哪里好呢？

@tulongtou 你愿意输入 one.one.one.one 还是 1.1.1.1

@yaott2020 但是我没有 1.1.1.1 的 IP 啊，反而有 xxxx.io 这种域名，我的域名比 IP 还短。

zerossl 确实不错

acme.sh 默认 CA N 年前就从 Lets' Encrypt 转到了 ZeroSSL

不错，支持！

@tulongtou
@bootvue
需求不一样哈，比如我的域名套了 cf ，是为了不想在类似 censys 中看到我的域名和真实 IP 的 bind 关系，但是我又需要搞 sslvpn ，这时候 IP 证书就有用武之地了~

acme.sh 脚本能不能用？

我去，不行的
Create new order error. Le_OrderFinalize not found. {"type":"urn:ietf:params:acme:error:unsupportedIdentifier","status":400,"detail":"IPv4 and IPv6 identifier types are not yet supported"}

@falcon05 是的哈~zerossl 官网也只能手动签，不能调 api

网页申请，3 个月有效期，一个账户只有 3 个证书

@q1angch0u 我这边玉米验证过了以后,一直在签发证书界面,op 遇到过这情况么?

@tulongtou 可以绕过 dns 污染

@vazo 我签的是 ip 哈…用的文件验证，一分钟左右的样子就发证书了~

对比 Lets' Encrypt 有啥优势呢

@awesomes 这个可以签 IP 的 ssl 证书哈….签域名我也用 let’s encrypt 哈哈哈

@awesomes 楼主说的是 IP 证书，lets encrypt 是不提供的。

@q1angch0u 插嘴失败，sorry.

你买哪个服务器 里面不都有免费的证书服务吗

@googlefans 那些都是域名的 ssl 证书哈…这个是 IP 的

@q1angch0u #20 吃完饭回来看了一下,签发了,签发用时 30 分钟左右.

@tinkerer 哈哈哈，没事，下次我回复慢点~

感觉 zerossl 的 ocsp 在国内比较慢

@unnamedhao 要什么自行车…

1 分钟搞定

听我说，谢谢你

@tulongtou 比如你要用梯子，必须 https 加密，你还得为梯子单独申请一个域名？

听我说，

IP 的好处是可以防劫持，客户端用 HTTP DNS 拿 IP 。

@oneisall8955
@liubaicai
听我说，谢谢你，感谢有你，温暖了四季~

@q1angch0u 如果只是想防止 cf 后面的源站 IP 暴露的话有更一劳永逸异一些的办法
1. 自签一个 10 年期或者更长的证书，添加到默认站点上就可以

2. 如果 Nginx 版本>1.19.4 可以使用 ssl_reject_handshake on;参数直接拒绝握手阶段的证书泄露问题
上面两种方式怎么应对非针对性的广泛扫描，如果被盯上了的话，还要把 cf 的 IP 加入到防火墙白名单才能防止对方带着域名去“碰撞”IP

@pcbl 直接用 ufw 或者硬件防火墙阻止一切除 Cloudflare IP 的流量就行了。ssh 用跳板机

只是防止套 CF 的源站暴露为什么要舍近求远而不用更直接更官方的方案？

https://www.cloudflare.com/products/tunnel/

不开放任何入站端口谁能扫到你？

@herozzm 你说的好像有道理。
不过即使不搭梯子，我也有好几个域名，你这说法在我这又不成立了。

这种 IP 证书可以绕过国内备案吗？

不能签局域网吧，想给局域网 esxi 签一个

费了点功夫，终于成功申请了一个，感谢 OP ！

@ZeroClover 我不想填付款方式;)

@pcbl ip 套 ssl 证书是因为我是想用 ip 拨 sslvpn ，不想用域名拨，因为域名会有解析记录和我的 IP 绑定在一起;)
@ZE3kr 我没钱买硬件防火墙&&没有额外资源搭堡垒机
@ZeroClover ip 套 ssl 证书是因为我是想用 ip 拨 sslvpn ，不想用域名拨，因为域名会有解析记录和我的 IP 绑定在一起;)

@kylix 客气~

@f0rger 不行的哈

@ZeroClover 而且我有公网 IP ，为什么还要在本地跑 agent 来打洞？

@q1angch0u 我没有在回复你，只是忘记 Mention 了

再说这个操作是为了防止扫描的，和你有公网 IP 有什么关系？

正好有需求，感谢

@ZeroClover 防扫描你放在我说 IP 申请证书的帖子里说干嘛？

@q1angch0u 因为我要回复的是 @pcbl @ZE3kr

你最好把你自己附言里面的话送给你自己，不要一天到晚怼天怼地的

@q1angch0u 太棒了！我刚好有一个靓 IP ，早就琢磨着是不是可以跟 1.1.1.1 一样配个 SSL ，这下子圆满了！谢谢！

@ahu 客气~

说实话，一顺看下来，没觉得谁在怼 op ，大家只是各抒己见或者发表疑问。

@nyakoy 哈哈哈，可能 op 比较玻璃心吧~

好

局域网不能签啊= =

@LokiSharp 局域网除了自建 ca 没人能给你签

@tinkerer 那直接自签名证书加客户端证书固定就行了

@tulongtou 你这个域名我都不敢在公司打开，怕出现一些尴尬的画面手动滑稽

加了几天班，眼花了，看成了免费签证，心想那个国家有这种好事，激动的点了进来

@hikarufighter32 老哥要润？[手动狗头]

感谢分享！
ipv6 有没有办法呢？这 zerossl 尝试了只能 ipv4 ，不支持 ipv6 的

@Cassius 同电信固定 IP ，N 年前找了省公司的市场部做个人备案开了 80/443~

@newmlp 我想让别人在浏览器直接用 https://12.34.56.78 访问我的服务的话，IP 证书就很合适，又不用担心因域名 dns 解析异常导致不可访问。
楼主只是分享一个免费 IP 证书服务，不是在探讨 IP 证书部署的可行方案。

@dudu2017 ipv6 也是可以的 但是不能带省略
可以填 2001:0000:0000:0000:0000:0000:0000:0000
不能填 2001::1

@falcon05 不支持 acme 但是可以用它自己的 rest api 签

@buxiaozisun 免费的也可以用 api 吗？

@q1angch0u 恩 我改了个脚本 技术不行 随便看看
https://raw.githubusercontent.com/22p/zerosslipcert/main/restapi.sh

@tinkerer 直接 ip 访问不需要 dns 解析

@buxiaozisun 很棒，我明天抽空撸个 golang 的哈哈哈~

@newmlp 是我汉语水平不行，还是...

@q1angch0u 我正在撸 golang 版... 又冲突了哥

@tinkerer 你撸~撸完我学习学习哈哈哈

@buxiaozisun #65 感谢，已用上

@buxiaozisun 确实是的

@q1angch0u olang 工具, t/848701 , 欢迎 github 发 PR 。

nginx SNI 不支持 ip 做 hostname ，大家咋解决这个问题的？

可惜 ZeroSSL 已经限制免费用户只能签发 3 个证书了，过期的证书也包括在内，就是说不再免费了。

限制免费用户 3 个证书了，现在用不了了，还有啥替代网站

自签一个，然后自己把 ca 安装到自己能用的设备上，全免费，一年一签。不知道你是啥场景，我这反而是不希望别人能识别出我的证书。