Let’s Encrypt 官方客戶端 Certbot 常見問題答疑
Let's Encrypt 的 SSL 安全證書接受度如何,我的瀏覽器是否會信任它?
答: 絕大多數操作系統( Linux 、 MacOS 、 Windows 、 Android )的絕大多數瀏覽器( Firefox 、 Chrome 、 Safari 、 IE 、 Edge ),都已經內置了相關證書,相關細節可以查看《 Which browsers and operating systems support Let's Encrypt 》
什麼時候可以獲得 Let's Encrypt 的 SSL 安全證書?
答: 馬上就可以,現在安裝 Certbot 官方配置工具,Let's Encrypt 的 CA 服務已經成功了簽發了數以百萬計的安全證書, Certbot 正在 Beta 測試階段,但是一切運行正常,如果你在配置過程中遇到任何問題,歡迎隨時回報,我們將儘快解決。
我可以將 Certbot 簽發的安全證書用於代碼簽名或者郵件加密嗎?
答: 不可以哦,郵件加密和代碼簽名需要的是另一種安全證書,不是 Let's Encrypt 這一種。
Certbot 會生成或者儲存我的安全證書的私鑰在 Let's Encrypt 的伺服器上嗎?
答: 不會,私鑰只會在你自己的伺服器上生成和管理,而不是 Let's Encrypt 的伺服器。
Certbot 會提供 EV 增強驗證 SSL 證書( Extended Validation Certificate )嗎?
答: 目前階段 Certbot 和 Let's Encrypt 暫時沒有提供 EV 證書的計劃。
我可以為多個域名簽發一張 SSL 證書嗎?
答: 可以,通過 SAN ( Subject Alternative Name )方法。一張證書可以應用到多個不同域名上,Certbot 會自動為多域名請求對應的認證,在瀏覽器訪問域名時,會檢測該域名是否在該證書所包含的域名清單中。
Certbot 支持我所使用的操作系統嗎?
答: 目前 Certbot 支持市面上主要的 Linux 及 BSD 操作系統及其各衍生髮行版。
Certbot 可以在伺服器上自動配置嗎?
答: 目前 Certbot 已經支持了在很多不同操作系統和網站伺服器上自動配置,而且將會支持得更多,自動配置可以幫助你更快、更容易地獲得、安裝以及自動更新安全證書。如果目前不支持你的伺服器自動配置,你同樣可以選擇手動配置伺服器軟體來獲得安全證書,如果是這樣的話,它也無法自動更新。總之, Certbot 提供了自動配置,如果你喜歡手動配置也可以選擇不用這個功能。
Certbot 需要 root 或者 administrator 許可權嗎?
答: 需不需要 root 許可權取決於你怎麼使用 Certbot 。如果你正在使用一個沒有 root 許可權的虛擬主機(非獨立伺服器或VPS),首先你要確保的是你需要有方法安裝安全證書,如果還不行的話,你需要跟你的虛擬主機提供商提出支持 Let's Encrypt (很多人已經這麼做了),如果可以而你只是在擔心一些安全問題的話,那就好辦了,請繼續往下看。
webroot 和 manual 插件可以在不需要 root 許可權的情況下運行,但是你需要確保 Certbot 運行的目錄是可寫的,比如 /etc/letsencrypt/ 、 /var/log/letsencrypt/ 和 /var/lib/letsencrypt/ ; 或者用 --config-dir 、 --logs-dir 和 --work-dir 參數指定 Certbot 的運行目錄。而 standalone 則需要 root 許可權來綁定 80 或者 443 埠,在 Linux 系統上你可以把 CAP_NET_BIND_SERVICE 許可權授予相關用戶。
Certbot 的 Apache 和 Nginx 插件需要 root 許可權來建立臨時文件夾,並且要修改一些 webserver 配置以讓其完美運行。
Certbot 可以使用我已有的私鑰或者 CSR ( Certificate Signing Request )證書嗎?
答: 是的,你可以用已有的私鑰來獲得你的安全證書(當然,你的私鑰需要是合法的尺寸和類型),只要你願意,你也可以使用已有的 CSR 。
我的網頁伺服器監聽的埠不是 80 ,可以部署證書嗎?
答: 可以,你可以使用 TLS-SNI-01 ,不過目前這個方法只支持 Apache web server ,如果你用的是 webroot 模式,那麼你的網頁伺服器必須監聽在 80 埠。
本文由 LinuxStory 翻譯自官網 FAQ 。詳細信息請訪問原文鏈接。
原本鏈接: https://certbot.eff.org/faq/