อาจเป็นคำถามงี่เง่า แต่การต่ออายุใบรับรองการเข้ารหัส Let's กับการเพิ่งได้รับใบรับรองใหม่แตกต่างกันอย่างไร

คำถามและที่มาที่เกี่ยวข้องสำหรับคำถามนี้: ฉันต้องเก็บข้อมูลบัญชีจาก certbot หรือไม่ ตราบใดที่ฉันสามารถตรวจสอบโดเมนของฉันได้ ฉันจะได้รับใบรับรองใหม่

ฉันพลาดอะไรไป?

answer

จากมุมมองของโปรโตคอล ACME ไม่มีความแตกต่าง...ซึ่งก็คือไม่มีการต่ออายุ ใบรับรองใหม่ทั้งหมดมาจาก "คำสั่งซื้อ" ใหม่ ลูกค้าส่วนใหญ่เพียงแค่สรุปแนวคิดของการต่ออายุโดยการบันทึกรายละเอียดที่คุณใช้ในการสร้างใบรับรองและนำรายละเอียดเดิมเหล่านั้นกลับมาใช้ใหม่เพื่อรับใบรับรองใหม่ สำหรับการอ้างอิงนี่คือสเปคสุดยอดสรุปเมื่อเร็ว ๆ นี้RFC 8555

ข้อมูลบัญชี ACME ที่ certbot สร้างขึ้นสำหรับคุณมีความจำเป็นเฉพาะในกรณีที่คุณต้องการเพิกถอนใบรับรองและไม่มีคีย์ส่วนตัว ไม่มีอะไรที่เป็นเทคนิคหยุดคุณจากการสร้างบัญชีใหม่สำหรับใบรับรองทุกครั้งที่คุณสร้างอื่นที่ไม่ใช่การตีพิมพ์ขีด จำกัด ของอัตรา จากเอกสาร:

You can create a maximum of 10 Accounts per IP Address per 3 hours. You can create a maximum of 500 Accounts per IP Range within an IPv6 /48 per 3 hours. Hitting either account rate limit is very rare, and we recommend that large integrators prefer a design using one account for many customers.

การสร้างบัญชีแยกตามเซิร์ฟเวอร์เป็นเรื่องปกติ โดยปกติไม่จำเป็นต้องซิงโครไนซ์บัญชีเดียวในหลายเครื่อง