V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
wangxiaoaer
V2EX  ›  问与答

二级域名能否使用 let's encrypt 证书

  •  
  •   wangxiaoaer · 2020-01-17 16:08:37 +08:00 · 5856 次点击
    这是一个创建于 1804 天前的主题,其中的信息可能已经有所发展或是发生改变。

    第三方分配给我们的二级域名(解析到我们的服务器),如果希望这个二级域名实现 https,那么能使用 let's encrypt 证书吗?

    假设第三方完全不知情,也就是说一些通过域名 txt 记录进行验证的手段都无效。

    23 条回复    2020-01-18 08:54:38 +08:00
    t123yh
        1
    t123yh  
       2020-01-17 16:10:56 +08:00 via Android
    只要你能控制这个域名解析到的 IP 机器的 80 或 443 端口即可。
    qiayue
        2
    qiayue  
       2020-01-17 16:13:12 +08:00
    基本搞不定,你只能找第三方协助
    wangxiaoaer
        3
    wangxiaoaer  
    OP
       2020-01-17 16:15:15 +08:00   ❤️ 1
    楼上两位大哥,你们先 统一 一下意见?
    lcdtyph
        4
    lcdtyph  
       2020-01-17 16:15:32 +08:00 via iPhone
    acme 协议可以不用 dns 验证的,你有非泛域名指向的网站的控制权即可,还要注意根域名的 caa 记录
    serco
        5
    serco  
       2020-01-17 16:15:35 +08:00
    let's encrypt 有 webroot plugin 可以用啊
    jimmy2010
        6
    jimmy2010  
       2020-01-17 16:16:22 +08:00 via Android
    已经解析了怎么不行呢?是 a 记录解析的就没问题啊。
    CallMeReznov
        7
    CallMeReznov  
       2020-01-17 16:16:26 +08:00
    有多种验证方式,可以自己查询一下.
    d5
        8
    d5  
       2020-01-17 16:18:09 +08:00
    直接用文件验证呗,把验证文件放到 wwwroot 文件目录里
    Vegetable
        9
    Vegetable  
       2020-01-17 16:21:21 +08:00
    1# 胜出。
    举个简单的例子,我司域名是另一个人管理的,每次我都会和他说给我开一个二级域名,解析到 XXX 服务器。
    然后我自己去阿里云申请一个免费证书的 fileauth.txt 放到服务器,验证通过之后下载证书到服务器就好了。
    这个流程里边另一个同事只负责把域名指向过来,别的什么也不需要。
    netnr
        10
    netnr  
       2020-01-17 16:21:23 +08:00
    泛解析需要 DNS 的权限,而单域名可以用 FTP 文件校验的方式签发
    AS4694lAS4808
        11
    AS4694lAS4808  
       2020-01-17 16:21:31 +08:00
    acme.sh 的--webroot,只要能访问到 80 端口就可以
    netnr
        12
    netnr  
       2020-01-17 16:22:40 +08:00
    fvckDaybyte2
        13
    fvckDaybyte2  
       2020-01-17 16:31:18 +08:00
    let's encrypt 官网就有说这种情况,一步一步来就行了傻瓜教程
    oh
        14
    oh  
       2020-01-17 19:59:02 +08:00 via iPhone
    我把二级域名解析到又拍云,也能申请下证书啊,道理不是一样?二楼张口就来啊
    stille
        15
    stille  
       2020-01-17 20:13:26 +08:00
    申请证书就只需要验证域名所有权.既然第三方已经把二级域名指向你的服务器,那么你就在服务器上用此域名部署个 web.证书申请验证域名使用 web 验证,把对应的验证 txt 文件放在你 web 根目录即可
    ZRS
        16
    ZRS  
       2020-01-17 20:15:18 +08:00
    有 A 解析就行
    wangxiaoaer
        17
    wangxiaoaer  
    OP
       2020-01-17 20:15:25 +08:00 via Android
    多谢各位的回复,回头我试试。
    tia
        18
    tia  
       2020-01-17 20:22:00 +08:00
    k9982874
        19
    k9982874  
       2020-01-17 20:22:11 +08:00 via iPhone
    为啥不行,let's encrypt 只颁证书,又不管 dns 解析,只要你证明服务器和域名是你的就行。
    MillerOS
        20
    MillerOS  
       2020-01-17 20:23:08 +08:00 via iPhone
    可以啊,我昨天才搞了💩
    wangxiaoaer
        21
    wangxiaoaer  
    OP
       2020-01-17 20:23:43 +08:00 via Android
    @ZRS cname 呢,应该也没影响吧。
    Showfom
        22
    Showfom  
       2020-01-17 21:37:45 +08:00 via iPhone
    除非他主域名做了 CAA 记录没有包含 Let's Encrypt

    或者你服务器有防火墙不让访问 80 8080 443 8443 端口

    否则都是可以的
    fykang
        23
    fykang  
       2020-01-18 08:54:38 +08:00
    没问题,我一直都是用 letsencrypt-nginx-proxy-companion 搭了个自动部署 ssl 证书的服务,只要把 ip 指向自己服务器其他都自动完成
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5588 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 03:17 · PVG 11:17 · LAX 19:17 · JFK 22:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.