之前有个项目,用了个域名带下划线,结果申请证书的时候就悲剧了,嗯,你问为什么不买个通配符的?当然是为了省钱,不想花钱。
刚开始还以为是阿里的问题,后来去腾讯发现也不行,换了几家都不行。最后搜索发现这么个情况:
由于受CAB出台的新规(证书中所包含的域名不能有下划线)影响,从2018年12月7日起,所有新签发的证书的域名中不能包含下划线,在2018年12月7日之前如有签发过下划线的域名,则需要在2019年1月14日进行强制吊销。 如有证书用户受到影响,可以通过下述方法进行解决: 1.请用户将含有下划线的域名进行调整,然后CA对该老证书进行重签发,将新的标准FQDN添加到冲签发的证书中。 2.用Wildcard对原老证书进行替换(但如果老证是EV SSL证书,则Wildcard证书不适用于本解决方案,因为Wildcard是OV类型证书,不支持EV)。 域名命名规范 (RFC标准) 互联网的核心技术规范由IETF(互联网工程任务组)通过一系列名为RFC(意见征求稿)的文档来定义。关于域名如何命名的规则,主要在 RFC 1035 中明确规定。 合法字符集:RFC 1035规定,域名中的“标签”(例如 www、example、com 都是独立的标签)只能使用以下字符: 字母 a-z (不区分大小写) 数字 0-9 连字符 - 关键限制:连字符 - 不能出现在标签的开头或结尾。 根据这个标准,下划线 _ 根本不在允许的字符集之内。所以,从技术规范上讲,server_name.com 本身就是一个无效的域名。
所以,虽然之前能创建这种二级或者三级域名,但是,在申请对应的证书的时候就悲剧了。
所以为了不影响业务,尝试申请免费的通配符证书,还是通过 acmes.sh 搞吧。
1.安装
curl https://get.acme.sh | sh -s email=my@example.com
2.配置环境变量:
export Ali_Key="LTA**************6yn" export Ali_Secret="q435*************EBSaDba5"
3.申请证书:
acme.sh --issue --dns dns_ali -d example.com -d *.example.com --debug
需要注意的是,通配符证书只能通过配置信息自动校验,不能通过添加解析的方式校验,所以要配置 key 和 secret。如果是不同的解析服务商,设置不同的环境变量即可。
zhongling@MacBookPro .acme.sh % export Ali_Key="LTA**************6yn" export Ali_Secret="q435*************EBSaDba5" zhongling@MacBookPro .acme.sh % ./acme.sh --issue -d lang.bi -d '*.lang.bi' -k ec-256 --dns dns_ali --dnssleep 60 [2025年11月21日 星期五 16时53分34秒 CST] Using CA: https://acme.zerossl.com/v2/DV90 [2025年11月21日 星期五 16时53分34秒 CST] Multi domain='DNS:lang.bi,DNS:*.lang.bi' [2025年11月21日 星期五 16时53分41秒 CST] Getting webroot for domain='lang.bi' [2025年11月21日 星期五 16时53分41秒 CST] Getting webroot for domain='*.lang.bi' [2025年11月21日 星期五 16时53分41秒 CST] Adding TXT value: fcTxHx2osERz8mqJFaV2c0yKvo6vUSMA4SH1FR95PMQ for domain: _acme-challenge.lang.bi [2025年11月21日 星期五 16时53分44秒 CST] The TXT record has been successfully added. [2025年11月21日 星期五 16时53分44秒 CST] Sleeping for 60 seconds to wait for the the TXT records to take effect [2025年11月21日 星期五 16时54分46秒 CST] lang.bi is already verified, skipping dns-01. [2025年11月21日 星期五 16时54分46秒 CST] Verifying: *.lang.bi [2025年11月21日 星期五 16时54分47秒 CST] Processing. The CA is processing your order, please wait. (1/30) [2025年11月21日 星期五 16时54分52秒 CST] Success [2025年11月21日 星期五 16时54分52秒 CST] Removing DNS records. [2025年11月21日 星期五 16时54分52秒 CST] Removing txt: fcTxHx2osERz8mqJFaV2c0yKvo6vUSMA4SH1FR95PMQ for domain: _acme-challenge.lang.bi [2025年11月21日 星期五 16时54分54秒 CST] Successfully removed [2025年11月21日 星期五 16时54分54秒 CST] Verification finished, beginning signing. [2025年11月21日 星期五 16时54分54秒 CST] Let's finalize the order. [2025年11月21日 星期五 16时54分54秒 CST] Le_OrderFinalize='https://acme.zerossl.com/v2/DV90/order/7SLmDTCNs_Qw7zls2HFDpA/finalize' [2025年11月21日 星期五 16时54分56秒 CST] Order status is 'processing', let's sleep and retry. [2025年11月21日 星期五 16时54分56秒 CST] Sleeping for 15 seconds then retrying [2025年11月21日 星期五 16时55分12秒 CST] Polling order status: https://acme.zerossl.com/v2/DV90/order/7SLmDTCNs_Qw7zls2HFDpA [2025年11月21日 星期五 16时55分13秒 CST] Downloading cert. [2025年11月21日 星期五 16时55分13秒 CST] Le_LinkCert='https://acme.zerossl.com/v2/DV90/cert/bvCTHYFrpbcye-ASpKoS5g' [2025年11月21日 星期五 16时55分15秒 CST] Cert success. -----BEGIN CERTIFICATE----- MIID/zCCA4WgAwIBAgIQS5gLQdZXhrEHdsgVdwPdgzAKBggqhkjOPQQDAzBLMQsw CQYDVQQGEwJBVDEQMA4GA1UEChMHWmVyb1NTTDEqMCgGA1UEAxMhWmVyb1NTTCBF Q0MgRG9tYWluIFNlY3VyZSBTaXRlIENBMB4XDTI1MTEyMTAwMDAwMFoXDTI2MDIx OTIzNTk1OVowFzEVMBMGA1UEAxMMaGFpa2VodWkubmV0MFkwEwYHKoZIzj0CAQYI KoZIzj0DAQcDQgAEehCGvspbOuBBQjuauz9ghdv9bmvPGJmlz/LttbMjBlBi31Wh **************************************************************** qaiMNTAnBgNVHREEIDAeggxoYWlrZWh1aS5uZXSCDiouaGFpa2VodWkubmV0MAoG CCqGSM49BAMDA2gAMGUCMHlmfYvfKEWtJ/CM7UNx6sJPwzu5fU1c5j8v2Oj4REQh /KE0yJHo3YZkXegvxlSAPAIxAOPw+ZwRsatCaRL8yEGp4mX0umkKx+XbtTlus5NK aBIOcZiS307CH5mXKOb1jXMPpg== -----END CERTIFICATE----- [2025年11月21日 星期五 16时55分15秒 CST] Your cert is in: /Users/zhongling/.acme.sh/lang.bi_ecc/lang.bi.cer [2025年11月21日 星期五 16时55分15秒 CST] Your cert key is in: /Users/zhongling/.acme.sh/lang.bi_ecc/lang.bi.key [2025年11月21日 星期五 16时55分15秒 CST] The intermediate CA cert is in: /Users/zhongling/.acme.sh/lang.bi_ecc/ca.cer [2025年11月21日 星期五 16时55分15秒 CST] And the full-chain cert is in: /Users/zhongling/.acme.sh/lang.bi_ecc/fullchain.cer zhongling@MacBookPro .acme.sh % start /Users/zhongling/.acme.sh/ zsh: command not found: start zsh: permission denied: /Users/zhongling/.acme.sh/ zhongling@MacBookPro .acme.sh % start /Users/zhongling/.acme.sh/ zsh: command not found: start zhongling@MacBookPro .acme.sh % open /Users/zhongling/.acme.sh/ zhongling@MacBookPro .acme.sh % open /Users/zhongling/.acme.sh/
最终,省去了更换域名的麻烦。先将就用着吧。
74 comments
acme.sh 还是可以的 我现在是方案是用cdn自带的证书程序,然后nginx这边就搞个自签证书 这样我就可以不用管自动续签了
是哒
acme挺好用。
嗯嗯
干完这个后,有没有自动部署到服务器重启nginx之类的,例行动作
那个简单 写个脚本就完啦 这个不用我部署 就不管啦
我通配符证书用了几年了,真的很方便。
是的 比较省事
之前用过这种方式,开始还有3个月,后来好像时间越来越短了
对啊 时间太短
我都是用免费的,CDN就用七牛的,其他域名就用宝塔和1Panel自带的,自动续期的也蛮省事,七牛需要隔一段时间整下。
我也用免费的 这是公司有个业务域名有问题 二级域名还申请不了
之前我也想为了省事用通配符证书,后来不知道怎么滴,主站和子站访问互串,都乱了。无奈只能换回单域名证书。
乱窜一般是https 和http互窜。如果都带s就不容易出问题
现在申请三个月这种短期证书,流程还挺繁琐的,有点麻烦呢。我之前花 15 块钱办理了自动续签三年的服务,实际用下来,感觉也没起到什么太大的作用。
是的 其实免费的就够用了 对个人来说 没必要付费
宝塔的自动更新证书好久都不能成功了,我是用ohttps手动更新
是不是证书服务访问不了了?
不知道,手动更新可以成功。也就没管了
我都是扔给宝塔,自动更新
嗯嗯,面板也挺方便的
acme的话,直接搞个自动化,每三个月自动申请并替换。
嗯嗯,不过服务器不在我这里,就无所谓了,给他们证书 就行了
不备案的话,现在有1年期免费的吗,现在换的头疼。
貌似没有一年的了,最长的三个月
干货收藏了。我机器这玩意还算方便,到期前或者想更换新的,就选择域名然后申请自动部署就完事,就是现在免费都三个月,够用嘿嘿。
是的。
这个更换证书的方法不错,下次可以用用。
嗯嗯,后面加个部署脚本就ok 啦。还是挺方便的
还是不申请了,续签提醒会提醒我的,毕竟部分域名屏蔽了境外访问
没需求就没必要折腾啦
免费的能用多久?
貌似也是三个月
能手动免费的,就不用收费的。通配符证书好用,一劳永逸
是的,主要是业务域名太多,一个个搞太麻烦了。我还不想去各个服务器上折腾acme.sh。所以,我直接申请一个扔给他们,让他们有用的自己去更新就行了。
韩系风切换到御姐OL风
你更喜欢哪个呢?
都超爱的,韩系的温暖、邻家、梦中的少妇;
御姐深邃、性感、狂野,怎么都爱
宝塔那个可以用dns续签好像,但是要手动,不知道定时脚本有没有
这个定时也简单,直接定时认为或者起个进程都ok哒
为什么会有下划线的域名,这种域名可以免费领取的吗
不是域名有下划线,是二级域名,例如业务域名 api_test.guimiquan.cn 这种可以添加解析,但是申请不了证书,哈哈哈。
闺蜜圈海拔很漂亮,你现在把ai图片玩的出神入化了
充分利用ai的能力,嘻嘻
我用的是宝塔里面通用的部署简单二级域名多了一个一个申请他太费事。
嗯嗯,各种第三方的面板,现在基本都支持自动申请了
钟小姐,你这么多域名, 到底以哪个为主啊。
额,其实都在用,主要的还是h4ck.org.cn这个吧。这个时间最长。
另外现在在外面留的地址,要么是这个,要么是oba.by这个。
其实,我更喜欢oba.by这个,但是没备案,速度会稍微慢点。
就用这个,噢,北鼻,简直不要太棒了。
嘻嘻。通配符的确方便
我都是用的宝塔那个免费的,然后自动续签
嗯嗯,面板的确方便一些
请用户将含有下划线的域名进行调整。呵,这话真官方,进行调整?
调整个嘚儿啊!!!怎么调整?不就是重新注册吗?
如果是正常注册貌似注册不了这种带下划线的域名,但是下面的二级域名或者三级域名设置的时候是可以带下划线的。😂
然后就导致了,你能配置这种域名,但是申请不了对应的证书。
1.我自己设子域名都是严格按规范来的,没想到能下划线,刚刚试了还真是。不过也好,这样也就遇不到这些麻烦事情了。
2.acme还蛮多人用的。看来身边的博友好像只有我在用certbot。
3.oba.by这个在海外,它是把h4ck同步过去那边,还是仅仅是反代一下。这个域名是最适合你的啦。不过我有一次直接点你在我那里的留言,发现很慢才发现是oba.by。后来直接换成h4ck就秒开了。
解释下第三个问题哈,其实我这么多的域名能够看到同样的内容,基本是通过两个方式来实现的,一个是 cdn,另外一个是 waf。
1.cdn,对于几个常用的域名,是通过 cdn 加速实现的,但是源站都是同一个,不过由于有些链接是写到数据库里的,所以这些链接点击的时候会跳到 hack 的那个域名。
2.waf,直接公网套了个南墙,后端地址仍然是同一个 ip。😂。所以不管访问哪个域名看到的都是一样的内容,好处是免费,缺点是带宽小,慢。
oba.by 访问不了了,我用itdog测试,161个节点有 123个失败了。
亲不要用快速测试,这样原服务器就直接失去响应了,😂。
套的 eo 的国际版,虽然慢点,但是也没你说的这么夸张
eo 的国际版这么差吗。套cf,这几百个请求就是小case。
可是我当时确实本地访问不了,才用itdog测的。
今天可以了。和国内站差不多快。
倒不是 eo 的性能差,是我的 wp 服务器性能太差,这种瞬时并发扛不住,直接就挂了。
我现在的方案是acme.sh配合zerossl服务,zerossl好像只能提供3个域名证书,多了就不行了。
额,这个竟然还有这个限制。如果不够的话用 lets encrypt的服务应该也可以。
我孤陋寡闻了,从没见过带下划线的域名
注册域名的时候不行,但是自己分配子域名的时候就可以了。
提个小建议。你的RSS里面,由于某些RSS阅读器不能正确处理响应式图片(srcset)且没有css约束,导致出现横向滚动条,阅读不便,不妨在rss中默认src使用较小一点的图片,与网页上显示的宽度一致就可以了。
啊,这个,直接用的 wp 的 rss 服务,貌似没看到设置的地方。等我找找。
我也是直接面板,咋省事儿咋来
嗯嗯 支持
下划线本质是用来代替空格。