lets-encrypt - 将子域添加到现有证书

Question

这看起来应该很简单，但我不确定安全总比抱歉好。

我为 mywebsite.com 创建了一个证书和 www.mywebsite.com使用 https://gethttpsforfree.com/

我现在想添加 static.mywebsite.com , media.mywebsite.com , cache.mywebsite.com ，这些指向 AWS 上的 S3 存储桶。

关于这个过程，我有几个问题:

是否只是使用我上次生成的相同帐户和域私钥并创建新的证书签名请求的问题？

如果是这样，CSR 是否应该拥有我想要的所有域/子域，还是只有新的域/子域？

由于这些指向 S3 存储桶，我是否必须暂时将它们定向到网络服务器进行验证，还是有办法在 S3 上进行验证？

假设没有其他问题，我是否应该用新的公共(public)证书替换负载均衡器上的现有公共(public)证书，并且现有域将继续工作？

当需要更新时，是从今天起对所有域/子域进行 90 天，还是仅对今天签署的新子域进行 90 天？

Answer 1

简而言之:您无法更新现有证书。一旦证书请求被签署，它就是不可变的。这是设计使然。您对生成新的 CSR 是正确的。

因此，请求一个新证书，所有这些名称都列在一个 CSR 中 - 包括 [www.]mywebsite.com .在生成 CSR 时，我认为您可以重复使用与旧证书相同的 key 对(当然，除非它被泄露)，但我自己并没有真正检查过。

我不确定 S3 - 只使用过一次而且非常简短。如果您无法将文件放在 /.well-known/acme-challenge/ 下要与基于 HTTP 的验证一起使用，您应该临时更改它们(问题是:您必须在需要重新验证时打破它)，或者尝试 DNS-based ACME validation (通过创建 TXT DNS 记录)。

颁发新证书后，将其部署在您使用旧证书的任何地方，以及您需要新名称的地方。当它生效时(等待几天以确保安全)，考虑撤销旧证书，因为它已被新证书弃用，您不再需要使用它。

您还可以生成多个证书 - 每个域一个(如果它们打算由不同的服务器使用，这将是一个好主意，如果它们是由不同的服务器使用的)，但现在不应该使用 Let's Encrypt。问题是，Let's Encrypt has various rate limits关于他们可以向您颁发多少证书，因此目前最好的方法是要求一个列出所有名称的新证书。因此，对于许多独立证书，您可能会发现自己处于证书过期但您无法续订的情况。

但是，请考虑为每个 SaaS 服务公司或托管服务提供商生成单独的 key 、CSR 和证书(具有多个名称)。 IE。一个单独的亚马逊和一个单独的，比如说，DigitalOcean。这个想法是，如果一个托管服务提供商的资源被泄露(例如，有人获得了您的亚马逊帐户的访问权限)并且您的私钥被泄露，那么与其他托管服务提供商托管的资源仍然(希望)是安全的。

每个单独的证书的 90 天生命周期是独立的。您只需在证书颁发后的 90 天内更新每个证书。

Let's Encrypt 目前不支持通配符证书，所以这些不是一个选项。我不知道有任何 CA 免费提供通配符证书，我认为它们的起价约为 75-100 美元/年。如果您的域名设置是静态的并且只偶尔更改一次，那么当您可以偶尔申请新的免费证书(当您需要列出新名称时)时，可能没有太多理由付费，请设置自动续订(提醒一次，看看它是否有效)然后忘记它。 ;)