Назад | Перейти на главную страницу

Давайте шифровать: обновлять против нового, или: зачем обновлять

Это может быть глупый вопрос, но: где разница между обновлением сертификата Let's encrypt и просто получением нового?

Связанный вопрос и предыстория этого вопроса: нужно ли мне хранить данные учетной записи от certbot? Пока я могу подтвердить свой домен, я получу новый сертификат.

Что мне не хватает?

С точки зрения протокола ACME нет никакой разницы ... то есть нет такой вещи, как обновление. Все новые сертификаты поступают из нового «порядка». Большинство клиентов просто абстрагируются от концепции продления, сохраняя данные, которые вы изначально использовали для создания сертификата, и повторно используя эти же данные для получения нового сертификата. Для справки, вот недавно завершенная спецификация ACME, RFC 8555.

Данные учетной записи ACME, которые создает для вас certbot, необходимы только в том случае, если вам нужно отозвать сертификат и у вас нет доступного закрытого ключа. Технически ничто не мешает вам создавать новую учетную запись для каждого сертификата, который вы создаете, кроме опубликованного. ограничения скорости. Из документа:

Вы можете создать максимум 10 учетных записей на один IP-адрес за 3 часа. Вы можете создать не более 500 учетных записей на один диапазон IP-адресов в пределах IPv6 / 48 за 3 часа. Достижение любого ограничения скорости учетной записи происходит очень редко, и мы рекомендуем крупным интеграторам предпочесть дизайн с использованием одной учетной записи для многих клиентов.

Создание отдельной учетной записи для каждого сервера довольно распространено. Обычно нет необходимости синхронизировать одну учетную запись на нескольких машинах.