Let’s Encrypt 官方客户端 Certbot 常见问题答疑

By -

Let’s Encrypt 的 SSL 安全证书接受度如何,我的浏览器是否会信任它?

答: 绝大多数操作系统( Linux 、 MacOS 、 Windows 、 Android )的绝大多数浏览器( Firefox 、 Chrome 、 Safari 、 IE 、 Edge ),都已经内置了相关证书,相关细节可以查看《 Which browsers and operating systems support Let’s Encrypt 》

什么时候可以获得 Let’s Encrypt 的 SSL 安全证书?

答: 马上就可以,现在安装 Certbot 官方配置工具,Let’s Encrypt 的 CA 服务已经成功了签发了数以百万计的安全证书, Certbot 正在 Beta 测试阶段,但是一切运行正常,如果你在配置过程中遇到任何问题,欢迎随时回报,我们将尽快解决。

我可以将 Certbot 签发的安全证书用于代码签名或者邮件加密吗?

答: 不可以哦,邮件加密和代码签名需要的是另一种安全证书,不是 Let’s Encrypt 这一种。

Certbot 会生成或者储存我的安全证书的私钥在 Let’s Encrypt 的服务器上吗?

答: 不会,私钥只会在你自己的服务器上生成和管理,而不是 Let’s Encrypt 的服务器。

Certbot 会提供 EV 增强验证 SSL 证书( Extended Validation Certificate )吗?

答: 目前阶段 Certbot 和 Let’s Encrypt 暂时没有提供 EV 证书的计划。

我可以为多个域名签发一张 SSL 证书吗?

答: 可以,通过 SAN ( Subject Alternative Name )方法。一张证书可以应用到多个不同域名上,Certbot 会自动为多域名请求对应的认证,在浏览器访问域名时,会检测该域名是否在该证书所包含的域名清单中。

Certbot 支持我所使用的操作系统吗?

答: 目前 Certbot 支持市面上主要的 Linux 及 BSD 操作系统及其各衍生发行版。

Certbot 可以在服务器上自动配置吗?

答: 目前 Certbot 已经支持了在很多不同操作系统和网站服务器上自动配置,而且将会支持得更多,自动配置可以帮助你更快、更容易地获得、安装以及自动更新安全证书。如果目前不支持你的服务器自动配置,你同样可以选择手动配置服务器软件来获得安全证书,如果是这样的话,它也无法自动更新。总之, Certbot 提供了自动配置,如果你喜欢手动配置也可以选择不用这个功能。

Certbot 需要 root 或者 administrator 权限吗?

答: 需不需要 root 权限取决于你怎么使用 Certbot 。如果你正在使用一个没有 root 权限的虚拟主机(非独立服务器或VPS),首先你要确保的是你需要有方法安装安全证书,如果还不行的话,你需要跟你的虚拟主机提供商提出支持 Let’s Encrypt (很多人已经这么做了),如果可以而你只是在担心一些安全问题的话,那就好办了,请继续往下看。

webroot 和 manual 插件可以在不需要 root 权限的情况下运行,但是你需要确保 Certbot 运行的目录是可写的,比如 /etc/letsencrypt/ 、 /var/log/letsencrypt/  和  /var/lib/letsencrypt/ ; 或者用 –config-dir 、 –logs-dir 和 –work-dir 参数指定 Certbot 的运行目录。而 standalone 则需要 root 权限来绑定 80 或者 443 端口,在 Linux 系统上你可以把 CAP_NET_BIND_SERVICE 权限授予相关用户。

Certbot 的 ApacheNginx 插件需要 root 权限来建立临时文件夹,并且要修改一些 webserver 配置以让其完美运行。

Certbot 可以使用我已有的私钥或者 CSR ( Certificate Signing Request )证书吗?

答: 是的,你可以用已有的私钥来获得你的安全证书(当然,你的私钥需要是合法的尺寸和类型),只要你愿意,你也可以使用已有的 CSR 。

我的网页服务器监听的端口不是 80 ,可以部署证书吗?

答: 可以,你可以使用 TLS-SNI-01 ,不过目前这个方法只支持 Apache web server ,如果你用的是 webroot 模式,那么你的网页服务器必须监听在 80 端口。


本文由 LinuxStory 翻译自官网 FAQ 。详细信息请访问原文链接。

原本链接: https://certbot.eff.org/faq/

本文链接: https://linuxstory.org/lets-encrypt-certbot-faq

转载请注明出处,否则必究相关责任。

聞其詳,英文ID:bootingman,是“booting” 加上 “man”的一个合成词。 术语“booting(引导)”是“bootstrapping”的简写,描述计算机从零开始启动的过程,同时也表示一个古老的谚语“通过自力更生而出人头地“。 “引导”的思想在于一个困难的、复杂的目标可以通过一个小的动作开始,然后以这个小的动作为基础,一步一步地达到期望目标而完成。这也是我想做和正在做的。

发表评论

电子邮件地址不会被公开。