免費數字證書頒發機構 Let's Encrypt 發佈了 ACME v2 協議 API 端點,正式宣佈開始測試支持簽發通配符數字證書的 ACME V2 版 API 接口。
可以使用以下的目錄 URL 開始爲你的客戶端測試對於 ACME v2 的支持:
https://acme-staging-v02.api.letsencrypt.org/directory
要注意的是,由於臨時的環境根證書不存在於瀏覽器/客戶端信任庫中,所以該端點不適合用於生產環境。準備好用於生產環境的 v2 API 端點將於 2 月 27 日發佈。
ACME V2 不是一個向後兼容的版本,所以 ACME v1 客戶端(幾乎所有今天使用的客戶端)將不能與 ACME v2 端點一起使用。現有的客戶端需要更改代碼和使用新版本才能支持 ACME v2。
v2 vs v1
ACME v2 與 v1 API 有許多不同之處,值得注意的變更:
-
授權/簽發流程已改變
-
JWS 請求授權以改變
-
JWS 請求體的"resource"字段被新的 JWS 請求頭“url”替換
-
目錄端點/資源重命名
新版開始提供通配符證書的簽發:
2017 年 7 月時 Let's Encrypt 宣佈將在 2018 年年初時提供通配符證書,目前在 2018 年首周已經開始測試通配符證書。
目前已上線正在測試階段的 V2 API 接口,開發者可通過該 API 接口申請通配符證書,不過該 API 接口尚處於測試階段,所以可能還有些問題。
普通用戶暫時可以先觀望等一等,直到正式上線。有興趣的開發者現在不妨去下載和測試新版 API 接口以體驗一番。
新版 API 接口內容請看:https://community.letsencrypt.org/t/staging-endpoint-for-acme-v2/49605
通配符證書解釋:
域名通配符證書類似 DNS 解析的泛域名概念,主域名簽發的通配符證書可以在所有子域名中使用。
通配符證書的優勢:
域名通配符證書最大的特點就是申請之後可以部署在子域名使用, 因此對於子域名,沒有必要再次申請新的證書。而價格方面,通配符域名證書通常會比單域名證書高几倍, 不過價格高的主要原因自然是使用的便利性。