免费SSL证书：Buypass Go SSL

起初知道这家是2018年的时候在群里看到泰迪大佬说到的，于是就去搜索了一番。在当时看到Buypass官网上的步骤感觉麻烦就一直没有去折腾了……
于是咕咕咕到了2019年，于是就折腾了起来……

由于不熟练，之前申请Let’s Encrypt都是偷懒使用别人提供的网页端来申请的。我本来也打算通过Web端来申请这个试试的但是无奈没有找到相关申请的网站。而且对Certbot脚本不熟悉折腾了很久但是想着邮箱我都已经提交过了就不断的在尝试。
虽然也在“可乐博客”上看到相关教程，但是发现对于我这不是使用Web服务器申请的表示无效于是我只好改用dns验证的。
曲折的过程就不啰嗦了，直接把成功的步骤“备份”一下以便下次使用……

下载Certbot

apt-get remove certbot
wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

签发命令

注册？

./certbot-auto register -m 'YOUR_EMAIL' --agree-tos --server 'https://api.buypass.com/acme/directory'

签证

./certbot-auto --server https://api.buypass.com/acme/directory -d "daohang.147180.com" --manual --preferred-challenges dns-01 certonly

添加一条dns记录（Certbot支持部分DNS商的API操作）
成功

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/daohang.147180.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/daohang.147180.com/privkey.pem
   Your cert will expire on 2019-07-21. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

结语

经过百般折腾终于签发成功了buypass证书，半年有效期。

虽然是单域名，且是默认的RSA，虽然我说过之后签发的证书全部使用ECC的但是还是保留默认的RSA先，等熟悉后再改ECC（多则半年，短则不确定。）

虽然通配符省事，但是Let’s的免费通配符只有3个月有效期，如果能签下buypass的通配符就美滋滋了。。。。（唉~之前免费通配符一年的没保存密钥后悔死了~~~~）

还有一点必须要公开记录IP。。。。因此感觉还是那固定的一台来申请比较好。

通过--csr server.csr自定义CSR。

Buypass API

生产终点：
ACME v1
https://api.buypass.com/acme/directory
测试端点：
ACME v1
https://api.test4.buypass.no/acme/directory

ACME v2
https://api.test4.buypass.no/acme-v02/directory

参考

https://www.cokemine.com/buypass-go-ssl-1.html
https://www.mayi888.com/archives/50280
https://community.buypass.com/t/k9jt30/create-a-certificate-with-ecdsa
https://certbot.eff.org/docs/using.html#certbot-commands
https://www.buypass.com/ssl/products/acme

就目前而言：感觉我现在使用腾讯云CDN的两个博客使用亚洲诚信的SSL；其他接入Cloudflare的就使用CF的OV证书；其中一个域名由于需要给各控制面板添加个信任的可能还是要个Let’s的通配符，但是固定的几个二级域名使用Buypass的。

2019-01-27更新

虽说在部署后不久就（才）发现在Android 4.2.2 的系统上面根证书已经过期而导致证书不信任，在咕了一段时间后终于在官网把新的根证书下载安装后就可以了。但是这个在其他用户上却不是这么实际的，毕竟不是每一个用户都会去执行这项操作（虽然网站出来自己就没有什么流量了），但是我觉得应该向前看否则证书就只能使用那些根证书在老系统还没有过期的CA了。同时发现4.2.2默认浏览器只支持TLS1.0怪不得我一些网站禁用TLS1.0后就无法握手了但是通过Chrome63可以握手成功。（在刚刚更新到Chrome71.0.3578.99后提示“此版本的Android不再支持Chrome更新”[此前已知晓Google对旧系统不在兼容]）
由于我使用的CDN貌似只支持部署一个证书如果部署ECC的话就有些设备不支持了（杞人忧天，根本就没有访客），可惜不支持其他设置否则就最低TLS1.1甚至TLS1.2起步了。。。。。。

超越自我吧 / ChiuYut

2019年01月22日