• Let’s Encrypt 的证书是否受我的浏览器信任?

    对于大多数浏览器和操作系统来说,答案是肯定的。有关更多详细信息,请参阅 兼容性列表

  • Certbot 是否会为网站以外的任何其他用途(例如 SSL/TLS)颁发证书?

    Certbot 将获取 Let’s Encrypt 证书,这些证书将是标准的域名验证证书,因此您可以将它们用于任何使用域名的服务器,例如 Web 服务器。您还可以将这些证书用于其他 TLS 应用程序,例如 IMAPS。

  • 我可以将 Certbot 的证书用于代码签名或电子邮件加密吗?

    不。电子邮件加密和代码签名需要与 Let's Encrypt CA 颁发的证书不同的证书类型。

  • Certbot 会在 Let’s Encrypt 的服务器上生成或存储我的证书的私钥吗?

    不。永远不会。

    私钥始终在您自己的服务器上生成和管理,而不是由 Let's Encrypt 证书颁发机构管理。

  • Certbot 会颁发扩展验证 (EV) 证书吗?

    Certbot 和 Let’s Encrypt 目前没有计划颁发 EV 证书。

  • 我可以为多个域名获取证书(SAN 证书)吗?

    可以,可以使用主题备用名称 (SAN) 机制将同一个证书应用于多个不同的名称。当请求这样做时,Certbot 会自动请求多个名称的证书。生成的证书将被浏览器接受,用于其中列出的任何域名。

  • Let's Encrypt 是否颁发通配符证书?

    可以!Let's Encrypt 已于 2018 年 3 月 开始颁发 通配符证书。Certbot 从 0.22.0 版开始添加了对通配符证书的支持。要获取通配符证书,需要使用 DNS 验证方法,可以通过 --manual 或通过适合您的 DNS 提供商的 Certbot DNS 插件来实现。

    请注意,根据您安装 Certbot 的方式,系统上可能尚未提供用于自动执行此过程的适当插件。有关 DNS 插件的信息,可在 Certbot 文档中找到

    使用 --manual 获取的证书无法使用 certbot renew 自动续订(除非您提供了自定义授权脚本)。但是,使用 Certbot DNS 插件获取的证书可以自动续订。为了获取可以无需人工干预而续订的通配符证书,您需要使用与您的 DNS 提供商支持的 API 兼容的 Certbot DNS 插件,或者一个可以在需要时进行适当的 DNS 记录更改的脚本。即使您的常规 DNS 提供商不支持兼容的更新机制,您也可以使用 CNAME 委托将 _acme-challenge 记录委派到您 DNS 区域中的另一个支持更新机制的提供商。您还可以将 _acme-challenge 指向 acme-dns 实例。

    请注意,根据您安装 Certbot 的方式,系统上可能尚未提供用于自动执行此过程的适当插件。

    有关您具体情况的更多信息,请参阅 Certbot 文档。

  • Certbot 是否支持我的操作系统?

    我们目前为主要 Linux 和 BSD 变体操作系统提供 Certbot 支持。还有许多其他 客户端实现 可用。

  • Certbot 是否支持我的 Web 服务器的自动配置?

    本网站提供了有关各种 Web 服务器和操作系统的支持级别的信息,这些信息各不相同,并且随着时间的推移而不断增加。在受支持的系统上,自动配置使获取、安装和自动续订证书变得快速简便。

    如果您的 Web 服务器不支持自动配置,您仍然可以使用 Certbot 获取证书,并手动配置您的服务器软件。在这种情况下,证书将不会自动续订。

    请注意,不需要自动配置。如果您希望自己配置服务器软件,可以禁用它。

  • Certbot 是否需要 root/管理员权限?

    是否需要 root 权限来运行 Certbot 取决于您打算如何使用它。

    如果您提出此问题是因为您的托管服务商没有授予您 root 访问权限,那么您首先需要确保,如果您获得了证书,您有办法安装它。如果答案是“否”,请要求您的托管服务商支持 Let's Encrypt(许多托管服务商已经支持)。如果答案是“是”,或者您出于安全原因提出此问题,请继续阅读...

    webrootmanual 插件无需 root 权限即可正常工作。但是,您需要为 Certbot 的工作目录提供可写路径,方法是确保 /etc/letsencrypt//var/log/letsencrypt//var/lib/letsencrypt/ 可写,或者使用 --config-dir--logs-dir--work-dir 标志选择不同的目录。

    standalone 插件需要 root 权限才能绑定端口 80 或 443,不过在 Linux 上,您也可以将 CAP_NET_BIND_SERVICE 授予相关用户。

    Certbot 的 Apache 和 Nginx 插件通常需要 root 权限,这既是为了对 Web 服务器配置进行临时和永久更改,也是为了对这些服务器执行平滑的重新加载事件。

    certbot-auto 脚本假设将使用 root 权限,既是为了在需要时安装操作系统依赖项,也是因为它需要支持上面提到的所有插件。Certbot 的打包版本更加灵活,这些打包版本的团队中的一些人正在努力使 Cerbot 在可能的情况下使用组权限而不是 root 权限运行。

  • 我可以将现有私钥或证书签名请求 (CSR) 与 Certbot 一起使用吗?

    可以。您可以为现有 CSR 获取证书,这意味着您可以使用自己的私钥生成自己的 CSR。但是,Certbot 不会接受私钥作为输入并为您生成 CSR。

  • 目前的速率限制是多少?

    https://letsencrypt.org/docs/rate-limits/

  • 我可以在不停止 Web 服务器的情况下颁发证书吗?

    可以,Certbot 有不同的 插件 来执行域名验证,并且除了“standalone”插件之外,它们都不需要任何停机时间。

  • Let's Encrypt 服务器将使用哪些 IP 地址来验证我的 Web 服务器?

    Let's Encrypt CA 不会发布它用于验证的 IP 地址列表,因为这些地址可能会随时更改。将来,它可能会从多个 IP 地址同时进行验证。

  • 如果我的 Web 服务器没有监听端口 80,我可以颁发证书吗?

    可以,使用 DNS-01 或 TLS-ALPN-01 挑战。但是,Certbot 尚未包含对 TLS-ALPN-01 的支持。如果您使用任何 Certbot 以及任何非 DNS 验证的方法,您的 Web 服务器必须监听端口 80,或者至少能够在证书验证期间暂时这样做。

    如果您有阻止端口 80 的 ISP 或防火墙,并且您无法将其取消阻止,则需要使用 DNS 验证或其他 Let's Encrypt 客户端。

  • 我可以使用哪些工具来调试我网站的 HTTPS 配置?

    在 Let’s Encrypt 社区论坛上,通常推荐四种扫描工具。

    它们都有自己的优势。Let's Debug 只会由那些尚未启用 HTTPS 的人使用,而 SSL Labs 只会由那些(至少在某种程度上)已经启用 HTTPS 的人使用。

    Let’s Debug:如果您遇到了挑战失败,并且希望获得对挑战失败原因的简单解释,那么 Let's Debug 最有用。

    Check-Your-Website:如果您遇到了令人费解的 DNS 或 HTTP 配置错误,其中某些页面或某些浏览器能够正常工作,而另一些则不能,或者您的 HTTP 网站在浏览器中能够正常工作,但您却遇到了无法理解的挑战失败,那么 Jürgen 的扫描器最有用。

    Why No Padlock:如果您已经拥有证书,但所有或某些用户都没有看到有效的 HTTPS 连接(并且它提供有关导致混合内容警告的原因的非常具体的信息),那么 Why No Padlock 最有用。

    SSL Labs:如果您已经设置了 HTTPS 网站,并且遇到了加密问题,例如某些浏览器能够正常工作,而另一些浏览器却出现了与密码套件相关的错误,或者您想让极客或监管机构确信您正在遵循安全最佳实践,那么 SSL Labs 最有用。

  • Certbot 的隐私政策是什么?

    可以在 此处 找到 Certbot 隐私政策。

  • Certbot 和本网站的许可证是什么?

    Certbot 软件和文档根据 Apache 2.0 许可证进行许可,如 此处 所述。否则,本网站通常根据 EFF 的 CC-BY 许可证进行许可,但本常见问题解答页面除外,该页面是 Let’s Encrypt 常见问题解答(根据 Let’s Encrypt 的 CC-BY-NC 许可)的衍生作品。