嗨,

我们对使用LetsEncrypt很感兴趣，但我不确定是否会支持我们的方案。听我解释。

我们有面向公众的和运行Windows/Linux/Ubuntu的内部服务器的混合体。其中一些已经有了SSL证书和DNS条目。为了便于讨论，我们假设我们的域是ventureone.com。

我想知道LetsEncrypt是否允许我覆盖此域和子域？例如，www.ventureone.com、mail.ventureone.com、docs.ventureone.com？

LetsEncrypt可以处理两级子域吗？例如，venture1.sales.ventureone.com、venture2.sales.ventureone.com。这等同于通配符SSL，我知道通配符不受支持，因此可以绕过它，因为我认为多域SAN证书不支持子域的子域。

事先感谢你的帮助，《乔治亚1979》：

我想知道LetsEncrypt是否允许我覆盖此域和子域？例如，www.simonbel.com、mail.simonbel.com、docs.simonbel.com？

可以，您可以获得任何子域组合的证书。请注意，您必须分别通过每个域的域所有权挑战(即通过simonbel.com的所有权挑战不会自动允许您获得simonbel.com的任何子域的证书)。对于没有可公开访问的IP地址的内部服务器，最好的选择可能是DNS-01质询类型，它允许您使用带有质询令牌的TXT记录验证域所有权。

Certbot当前不支持此质询类型。我的个人建议是乐高，因为它有很好的文档和许多可用于各种DNS提供商的集成插件，允许您自动执行这种挑战类型。许多其他客户端，如bash客户端，也支持基于DNS的挑战。

乔治亚1979年：

LetsEncrypt可以处理两级子域吗？例如，venture1.sales.simonbel.com、venture2.sales.simonbel.com。这等同于通配符SSL，我知道通配符不受支持，因此可以绕过它，因为我认为多域SAN证书不支持子域的子域。

证书中包含的域的“深度”没有限制--这应该是可行的。只要您提前知道(子)域的列表，并且不需要覆盖太多不同的域，我们就让我们为您的用例加密吧。

您应该注意的一些限制：

同一证书上最多可以有100个不同的FQDN。例如，您可以拥有一个涵盖从venture1.sales.simonbel.com到venture100.sales.simonbel.com的所有域的证书。

每个注册域每周最多可以获得20个证书(在您的示例中是simonbel.com，因此TLD加上一个DNS标签)。在前面的示例中，您可以在一周内获得20个证书，每个证书有100个FQN，覆盖venture1.sales.simonbell.com...venture2000.sales.simonbell.com。续订不计入这个限制，所以在接下来的一周里，你可以再添加2000个FQD。在我的回复中修正了它。嗨，pfg，

把密钥复制到不同的服务器怎么样？创建证书和密钥后，我可以这样做吗？还是需要在每台服务器上安装创建它们？让我们加密不会对如何部署/共享/复制您的证书和密钥做出任何假设。该过程的“最终产品”本质上是两个文件(如果单独计算中间证书，则为三个)，您可以在任意数量的服务器上使用它们。一旦您获得了证书，这与使用“常规”CA的工作方式没有什么不同。

作为一个示例用例，使用集中式服务器进行证书管理是完全可能的。此服务器可能负责解决您的域的DNS挑战，存储证书和密钥文件，并在颁发/续订后将它们推送到您的实际服务器。这可以是任何东西，从简单的SCP命令，然后是远程配置重新加载(以加载新证书)，也可以是与配置管理软件的某种集成(如果您使用Ansipe.、Hi PFG、

假设证书和密钥是在一个集中的服务器上创建的，并且我有一个pfx文件。对于映射到证书中列出的子域之一的服务器，我可以将该PFX文件导入到IIS中的‘服务器证书’中吗

或者，如果需要，我也可以在实际服务器上创建证书。

对于所有的问题，很抱歉，但传统上我们是购买自己的SSL证书的，所以这是一个新的思维方式。

预先感谢。是的，证书可以转换为PFX(大多数客户端都会创建PEM文件，因此您需要使用openssl pkcs12-EXPORT-OUT cert.pfx-inkey Prikey.pem-in cert.pem-certfile chain.pem这样做)并导入到IIS中。如果您发现适用于您的用例的验证机制(例如，可以使用加密-WIN-SIMPLE)自动执行此过程，则也可以使用某个专用的Windows/IIS客户端。

乔治亚1979年：

对于所有的问题，很抱歉，但传统上我们是购买自己的SSL证书的，所以这是一个新的思维方式。

基本上，一旦您通过所有权挑战并获得证书，您最终得到的文件集与您在任何其他CA上获得的文件集相同。您的服务器软件并不真正关心证书是由We‘s Encrypt还是其他CA颁发的，它的格式是相同的。任何可以与传统CA一起工作的过程都应该与我们的加密一起工作。

感谢您一如既往的支持。

我已经谈到了LetsEncrypt可以处理的域的“深度”。在过去，我们为*.sales.domain.com购买了通配符证书。如果我的理解是正确的，我们需要在申请证书时提前知道子域。如果我们申请了证书，但随后需要一个子域证书，而不是原始证书中包含的证书，那么最好的选择是什么？让我们加密并不真的规定了这里的首选方法，我会说这取决于您和您的设置。无论是颁发仅包括新子域的新证书，还是颁发包括现有子域和新子域的证书，都会使您的速率限制计数器恰好增加1。如果您有大量的子域，则可能需要使用更大的SAN证书，每个证书最多包含100个域。如果我们只讨论几个子域，每月可能增加5个或10个，您可能会更好地与每个证书一个域名，因为这将使事情更容易管理，Hi PFG，

可以，您可以获得任何子域组合的证书。请注意，您必须分别通过每个域的域所有权挑战(即通过simonbel.com的所有权挑战不会自动允许您获得simonbel.com的任何子域的证书)。

如果我在证书申请中列出ventureone.com、docs.ventureone.com、mail.ventureone.com、sales.venture.ventureone.com，我如何通过域所有权挑战？所有这些域都必须映射到相同的服务器IP吗？请求是否会从该服务器发出？

谢谢。只要提供正确的质询响应，服务器(S)和客户端有什么IP都不重要。假设使用了http-01质询，则每个服务器都可以为其拥有的域提供文件，或者可以将/.well-now/acme-challengl/下的请求重定向到一个拥有所有文件的服务器。