谷姐靓号网发个福利!第一个大陆 OCSP 的自动续期证书机构
如何使用:
常见 ACME 客户端指定 `server` 参数为 `https://acme.pki.plus/acme/directory` 就可以
- https://www.v2ex.com/t/822401
- https://www.pki.plus
- https://acme.pki.plus/acme/directory
OCSP 性能评测:
对比之下海外机构,包过付费 Sectigo 证书的 OCSP 都是要 500 毫秒以上
- wget https://crt.sh/\?d\=5711085653 -O quantumca-user.crt
wget https://crt.sh/\?d\=4089178243 -O quantumca-ca.crt
for i in $(seq 0 10);
do
openssl ocsp -issuer quantumca-ca.crt-cert quantumca-user.crt -nonce --reqout - | curl http://ocsp.sslcom.cn-s -H 'Content-type: application/ocsp-request' -X POST --data-binary @- -w "Total time: %{time_total}\n"
done
> Total time: 0.028411
> Total time: 0.013579
> Total time: 0.014744
> Total time: 0.013982
> Total time: 0.015370
> Total time: 0.012121
> Total time: 0.012970
> Total time: 0.014744
> Total time: 0.015144
> Total time: 0.015726
> Total time: 0.013049
wget https://crt.sh/\?d\=1205293401 -O sectigo-user.crt
wget https://crt.sh/\?d\=1282303295 -O sectigo-ca.crt
for i in $(seq 0 10);
do
openssl ocsp -issuer sectigo-ca.crt-cert sectigo-user.crt -nonce --reqout - | curl http://ocsp.sectigo.com-s -H 'Content-type: application/ocsp-request' -X POST --data-binary @- -w "Total time: %{time_total}\n"
done
Total time: 0.475027
Total time: 0.883063
Total time: 0.463176
Total time: 1.403743
Total time: 1.464955
Total time: 0.463922
Total time: 0.462206
Total time: 0.445534
Total time: 0.472526
Total time: 0.468809
Total time: 0.461183
热议
推荐楼 安好 2021-12-15 17:26:15
安装 acme.sh 就可以了设置 --server https://acme.pki.plus/acme/directory
手动签发
1. 获取解析的 txt
./acme.sh--issue--dns -d 域名 --yes-I-know-dns-manual-mode-enough-go-ahead-please --server https://acme.pki.plus/acme/directory
会出现绿色的解析说明
2.验证txt解析
./acme.sh--renew--dns -d 你的域名--yes-I-know-dns-manual-mode-enough-go-ahead-please --server https://acme.pki.plus/acme/directory
推荐楼 若白 2021-12-15 18:26:48
意义不大吧...
大部分浏览器压根都无视ocsp响应...
就算浏览器强制要求ocsp响应...
你证书链里面的上级证书也要去等ocsp响应的...
2楼 安好 2021-12-15 16:58:36
支持,这个能申请多久的
3楼 wxcszh123 2021-12-15 16:59:00
支持,详细一点说说 这个怎么用啊
4楼 燕十三丶 2021-12-15 16:59:38
需要实名吗 需要验证手机号吗?
目前是试运行阶段,受限于法规政策、CA 商务合作等关系约束,运营策略可能会变动
5楼 iks 2021-12-15 17:00:36
不会用,建议写个规范文档
6楼 告辞 2021-12-15 17:00:52
来个SVIP
7楼 HOH 2021-12-15 17:02:29
上一个大陆CA已经被吊销了
8楼 ccf 2021-12-15 17:04:01
不用和CN沾边的证书
9楼 无涯子 2021-12-15 17:14:19
没看懂怎么用。。
10楼 让夫人受精了 2021-12-15 17:16:47
大陆? 走了
12楼 安好 2021-12-15 17:26:15
安装 acme.sh 就可以了设置 --server https://acme.pki.plus/acme/directory
手动签发
1. 获取解析的 txt
./acme.sh--issue--dns -d 域名 --yes-I-know-dns-manual-mode-enough-go-ahead-please --server https://acme.pki.plus/acme/directory
会出现绿色的解析说明
2.验证txt解析
./acme.sh--renew--dns -d 你的域名--yes-I-know-dns-manual-mode-enough-go-ahead-please --server https://acme.pki.plus/acme/directory
13楼 笑花落半世琉璃 2021-12-15 17:27:19
好像也用不太上
14楼 hitachi 2021-12-15 18:09:04
申请的有效时长多久?
15楼 zhongziso 2021-12-15 18:22:09
mark
16楼 专收爆米花 2021-12-15 18:24:56
我签名博客ssl,就是国内oscp的哼
17楼 若白 2021-12-15 18:26:48
意义不大吧...
大部分浏览器压根都无视ocsp响应...
就算浏览器强制要求ocsp响应...
你证书链里面的上级证书也要去等ocsp响应的...
18楼 钱宗鑫 2021-12-15 18:50:57
哪位大佬来个详细点的教程
19楼 zhongziso 2021-12-15 18:54:30
免费的有效期只有3个月?
20楼 嫖啊嫖 2021-12-15 19:13:50
不要浪费时间哦,这个https://pki.plus的证书浏览器都不信任
22楼 帝玺SSL 2021-12-15 19:26:39
意义不大吧...
大部分浏览器压根都无视ocsp响应...
看下我们中间根的 ocsp 也是大陆, 你能考虑到的我们也考虑到了
23楼 iks 2021-12-15 23:30:42
意义不大吧...
大部分浏览器压根都无视ocsp响应...
根据 RFC6960 和 CA/B Baseline Requirements,中级证书无需进行 OCSP,亦无须写入 OCSP 信息。如 Let's Encrypt 的 R3,只有 CRL 即可
(一个是「需」一个是「须」)
另外 Chrome 会对 EV 叶子证书无条件进行 OCSP,Firefox 和 Safari 会对所有认证级别的叶子证书 (DV, OV 和 EV) 进行 OCSP
24楼 kuso 7天前
无法使用
{"success":false,"code":404,"message":404}
25楼 goubaoaob 7天前
我签名博客ssl,就是国内oscp的哼
你博客的证书哪里买的呀?支持多个泛域名,还是一年期的
26楼 goubaoaob 14分钟前
https://www.quantumca.com.cn 这个太贵了。。。之前的博客3个泛域名,要3.6W/y。。。。
27楼 wang3y2 10分钟前
溜了溜了
申明:本文内容由网友收集分享,仅供学习参考使用。如文中内容侵犯到您的利益,请在文章下方留言,本站会第一时间进行处理。
评论前必须登录!
立即登录 注册