Вообще, сейчас всё больше УЦ начинают выдавать краткосрочные сертификаты и автоматизировать работу по протоколу ACME. В любом случае, полезно иметь запасной вариант на случай сбоя Let's Encrypt. Вдруг их новые серверы не выдержат нагрузки.
Протокол ACME
Для начала нужно пояснить, что основой для работы Let's Encrypt является протокол ACME (Automated Certificate Management Environment). Это открытый протокол для автоматизации взаимодействия с УЦ. В нём нет ничего специфичного для Let's Encrypt, его поддерживает несколько других УЦ.
Это означает, что практически все наши инструменты, скрипты и процессы для получения сертификатов из Let's Encrypt будут отлично работать и с другими центрами, которые поддерживают ACME.
Кроме стандартного клиента Certbot, есть и множество других клиентов ACME.
Чтобы перестроиться на другой УЦ, достаточно просто изменить адрес API в настроенных скриптах с
https://acme-v02.api.letsencrypt.org/directory
(Let's Encrypt) на https://api.buypass.com/acme/directory
(BuyPass) или какой-нибудь другой.SSL.com
После регистрации аккаунта нужно зайти на эту страницу и скопировать учётные данные для доступа к API: Account/ACME Key, Secret Key, HMAC Key.
Затем настроить клиент ACME на работу с API от SSL.com: зарегистрировать аккаунт RSA, аккаунт ECC — и сгенерировать сертификат.
Subject: CN=... Issuer: CN=SSL.com SSL Intermediate CA ECC R2,O=SSL Corp,L=Houston,ST=Texas,C=US -----BEGIN CERTIFICATE----- ... Ly93d3cuc3NsLmNvbS9yZXBvc2l0b3J5MB0GA1UdJQQWMBQGCCsGAQUFBwMCBggr BgEFBQcDATBEBgNVHR8EPTA7MDmgN6A1hjNodHRwOi8vY3Jscy5zc2wuY29tL1NT TGNvbS1TdWJDQS1TU0wtRUNDLTM4NC1SMi5jcmwwHQYDVR0OBBYEFIt0k8bwGO+1 n034I0dkoRWqsSZpMA4GA1UdDwEB/wQEAwIHgDCCAXwGCisGAQQB1nkCBAIEggFs BIIBaAFmAHYA9lyUL9F3MCIUVBgIMJRWjuNNExkzv98MLyALzE7xZOMAAAF7Xbea SwAABAMARzBFAiEAiyE1SNTQwTmRvVykP/UwEhWEQaB+OK8YgAvdB35D0noCIA2E +b8= ... -----END CERTIFICATE-----
Процесс занимает считанные минуты.
На своём сервере можно настроить выдачу сертификатов по очереди или в случайном порядке от четырёх бесплатных УЦ.
Комментарии (18)
ky0
23.08.2021 15:54-1Чаво, регистрация аккаунта? Это руками надо на сайт заходить, что ли? Сразу нафиг, извините :)
INSTE
23.08.2021 16:02Один раз же, потом продляется само.
TheGodfather
23.08.2021 16:15+1А в Let's Encrypt и этого не надо. Почувствуйте разницу, что называется.
INSTE
23.08.2021 16:26+2Прекрасно понимаю, но диверсификация очень важна. То, что появились другие провайдеры ACME — это всегда хорошо.
ky0
23.08.2021 17:11Диверсификацией это можно было бы назвать, если для смены провайдера достаточно было бы поменять эндпоинт апи. А так - фактически, это часть маркетинговой стратегии и никто не может быть уверенным, что условия и само существование подобной возможности в один прекрасный день не прекратится.
INSTE
23.08.2021 17:39А вы хоть пост-то читали? Там именно так и написано: введите другой API url и три строки credentials (все это всего лишь один раз). Захочется третьего провадйера — введете его данные. Сам клиент менять не надо.
vanxant
24.08.2021 14:07А в Let's Encrypt и этого не надо
Ну как не надо, ваш мыл то отправляется вместе с ключами, и производится та же регистрация. Обычно в туда пишет expiry bot, но это пока.
dimaaan
23.08.2021 17:42+2ZeroSSL лишь притворяется бесплатным.
Когда бдительность усыплена, вам сообщяют, что "You have reached the maximum amount of 90-day certificates allowed on the Free Plan" и требуют 10$ в месяц.
idmrty
23.08.2021 21:15Через ACME ограничений нет, Wildcard есть. Это единственная полноценная альтернатива LE.
ExceptionallyHandsome
24.08.2021 13:58Что значит wildcard есть, если его нет? На странице https://www.ssl.com/how-to/order-free-90-day-ssl-tls-certificates-with-acme/ про wildcard ничего не написано, зато написано вот это:
You can use the ACME protocol to order free 90-day DV SSL/TLS certificates from SSL.com. These certificates include one domain, plus optionally the
www
subdomain.Ни разу не полноценная альтернатива.
naghtigall
24.08.2021 10:58Уточните, что ZeroSSL - это не аналог Let's Encrypt. У них только три первых сертификата на 90 дней бесплатны. А потом нужно переходить на платный тариф
Evengard
Wildcard-ы выдают?
BasilioCat
нет. Как и у многих других "альтернатив" LetsEncrypt, это лишь триальная наживка, в надежде что потенциальным клиентах понадобится OV/EV сертификат, или wildcard вот. Ну или дорогим
халявщикампартнерам с несколькими сотнями сертификатов просто предложат перейти на недорогой, но платный тариф. Вот как cloudflare напримерEvengard
Спасибо, так и предполагал.