关于 let's encrypt 证书，有个疑问请教

请教下各位大神，现在我有两个域名+两个服务器，两个服务器上都布置了解析，一个作为正常访问，一个作为备份机器。假设是 a.com 和 b.com，现在要申请 ssl 证书，我有两个选择，哪个是正确的，求告知。

1、两个机器上分别 webroot 申请单独的证书

2、在一个机器上申请证书，然后每次更新证书后，发送到另一个机器

pimin

2017-06-23 10:25:02 +08:00

正常的逻辑肯定是 1.
流程简化，自动更新之类都是有成熟解决方案的，你自己复制看似一个简单的复制粘贴，时间和风险成本肯定都超出你的预期； A、B 虽然都是你的服务器，但肯定交集越少越好，隔离程度越高，于安全越有利；

coolyujiyu

2017-06-23 10:26:41 +08:00

1、两个域名都要申请证书。
2、两个服务器分别部署证书。
3、两个服务器分别自动更新证书。

Terenc3

2017-06-23 10:28:17 +08:00

我的情况和你的一样，enginx.net 和 enginx.cn。

我的做法是在网络环境较好的机子上申请和续签证书，然后通过 SSH 隧道 rsync 同步过去到另一台机子上。

写个简单的脚本定时检查证书有效期，自动续签。

另一台则每天检查证书是否有变动，有变动则同步，然后 reload nginx。

wolfperson90

2017-06-23 10:29:31 +08:00

@coolyujiyu 我在两个机器上对同一个域名申请证书，会不会覆盖，在 lets 上可以查询到两个吗

coolyujiyu

2017-06-23 10:42:59 +08:00

@wolfperson90 额，你有两个域名，肯定是分别对两个域名申请证书，你说的两个机器申请一个域名的我也没试过，可能会覆盖

momocraft

2017-06-23 10:50:31 +08:00

我也有类似的需求。目前在用 1 但其实想要类似 2 的方法。
不知道有没有简单的，多机同步的文件系统..这样的东西。

wolfperson90

2017-06-23 10:55:06 +08:00

@Tink 两个域名 a.com b.com，在一个机器上，另一个机器是灾备机器，必要的时候切换的

wolfperson90

2017-06-23 10:56:21 +08:00

@momocraft 你在两个机器上对同一个域名申请证书，不会覆盖吗，我最想了解这个😄

momocraft

2017-06-23 10:58:03 +08:00

@wolfperson90 我是用 dns challenge 申请的，不需要绑定域名到 IP。

Tink

2017-06-23 11:05:33 +08:00

@wolfperson90 两个域名就各自在各自的服务器上申请各自的证书就行了啊

tttttttt

2017-06-23 11:34:34 +08:00

@coolyujiyu 同意，如果是两个顶级域名还在不同的服务器部署，还是分开申请吧

neilp

2017-06-23 12:45:38 +08:00

如果可以用 dns api 完整的话建议单独分开申请
如果 webroot 验证的话只能采用 2

msg7086

2017-07-06 14:48:35 +08:00

「在 lets 上可以查询到两个吗」

你先等等，你什么时候能在 lets 上查询证书了？

「你在两个机器上对同一个域名申请证书，不会覆盖吗」

覆盖什么？证书都在你服务器硬盘上，能覆盖什么？

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/370476

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.