2

据我了解letsencrypt FAQ,在多个子域上使用证书的推荐方法是使用主题备用名称(SAN)。

我的情况是,我无法预测名称的子域越来越多。这意味着每次子域出现在现有子域中时,我都必须更改证书。

如何更改现有证书?简单地更新一个额外的 SAN 似乎不起作用。

对于它的价值,这就是我更新证书的方式:

    letsencrypt certonly --standalone \
    --email ssl@example.org \
    --renew-by-default \
    --agree-tos \
    -d www.example.org \
    -d example.org \
    -d client-a.example.org \
    -d client-b.example.org \
    -d client-c.example.org

现在我需要添加client-d.example.org。

4

1 回答 1

1

如果添加不带--expand标志的新 SAN,将创建一个新的证书目录,例如/etc/letsencrypt/live/www.example.com-0001. 如果要扩展当前证书,只需附加--expand标志。

但是,如果您无法预测子域,那么 Let's Encrypt 目前不适合您。这是一个真正需要通配符证书的用例。Let's Encrypt 目前不提供通配符证书。

于 2016-03-28T19:34:52.603 回答