SSL没一年了,又不想舔百度和UC,于是学习了acme certbot对比

20次阅读

共计 782 个字符,预计需要花费 2 分钟才能阅读完成。

本帖最后由 squalll 于 2024-5-4 15:46 编辑
昨天用服务器 A 研究了 CERTBOT,但是发现,存在一些缺陷
今天用另一台服务器 B 学习了 ACME.SH,并且进行了对比
发现 CERTBOT 还是差很多,主要体现在:
发现对比之下还是 ACME.SH 好用
CERTBOT 毛病太多,还必须读取你的 NGINX 配置文件,还会未经你的同意修改(虽然是善意的,但是容易出 BUG),最重要的是 CERTBOT 只支持 UTF8 的格式 CONF,这样会和 subs_filter 替换文本插件冲突。。。
而且据说 ACME.SH 直接调用 DNSPOD 之类的,而 CERTBOT 竟然还需要第三方插件才能实现 DNS 验证(而且还分系统版本,乌班图、CNETOS 什么的还不一样,CENTOS 我竟然没找到对应的插件),没办法,全反代站没有本地路径
加了
location ^~ /.well-known/acme-challenge/ {
    alias /www/server/nginx/html/.well-known/acme-challenge/;
    try_files $uri =404;
}
,让 CERTBOT 读取 CONF 竟然不支持 UTF8,而转成 UTF8 后我的 SUBS_FILTER 插件就对中文失效了,所幸第二胎改成 ACME.SH
ACME.SH 原理就简单多了,验证,然后问你把证书文件自动拷贝到哪里(NGINX 调用证书路径),就完事了,还自动帮你加了定时续期任务,而 CERTBOT 网上教程说看看有没有,没有任务自己加,结果就没有任务,只好手动加 CERTBOT 定时任务。
昨天 GPT 死活非让我用 CERTBOT,告诉我这比 ACME.SH 简单得多,是做好用的自动程序,昨天我还真信了。
最重要的还是,CERTBOT 读取 CONF 并修改 CONF 这种方式虽然更智能自动化,但是毛病多,而 ACME.SH 不改你的 CONF,但是原理是一通直达。

正文完
 0