V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
joyanhui
V2EX  ›  域名

非标端口无域名权限有可能申请到证书吗?

  •  
  •   joyanhui · 353 天前 · 1375 次点击
    这是一个创建于 353 天前的主题,其中的信息可能已经有所发展或是发生改变。

    比如 阿里云的 IP 应用加速,给的 CNAME 是 xxxx.XXXXX.xxx.w.kunlunhuf.com

    非 80/443 端口

    对应端口上 搭建了 webserver ,不想用自己的域名的情况下,肯定也没有 .kunlunhuf.com 这个域名的管理权限,有可能 给这个 cname 地址申请到证书吗?

    12 条回复    2023-12-06 11:57:13 +08:00
    joyanhui
        1
    joyanhui  
    OP
       353 天前
    看了 asme.sh 的非标端口申请证书,貌似也是要求标准端口需要可以从外网通过 80/443 访问到 well-known 才可以?
    ysc3839
        2
    ysc3839  
       353 天前 via Android
    不可能
    Shiroka
        3
    Shiroka  
       353 天前
    1. 非标端口不可用,请看 https://letsencrypt.org/zh-cn/docs/challenge-types/ “HTTP-01 验证只能使用 80 端口。 因为允许客户端指定任意端口会降低安全性,所以 ACME 标准已禁止此行为。”
    2. 属于滥用云厂商提供的 CNAME ,不建议
    Suzutan
        4
    Suzutan  
       353 天前 via iPhone
    买个便宜的域名来绑是最优解
    crazyweeds
        5
    crazyweeds  
       353 天前
    既然如此,为啥不 DDNS 呢?
    cpstar
        6
    cpstar  
       353 天前
    都阿里云了,一样有不要钱的证书啊
    datou
        7
    datou  
       353 天前
    @cpstar 不是 domain owner 不能申请 dv 证书吧
    hefish
        8
    hefish  
       353 天前
    自签吧,随便怎么都行
    GuangXiN
        9
    GuangXiN  
       353 天前
    你为啥要给 CNAME 目标域名签发证书?直接用自己的域名证书不行吗?
    cpstar
        10
    cpstar  
       353 天前
    额?刚明白,你为啥给 CDN 的域名搞证书?那就是过路门神,真正的证书是你后端实际域名的,配置 CDN 的时候,也会把证书 key 、pem 都设置到 CDN 配置里。
    virusdefender
        11
    virusdefender  
       353 天前
    以 http 流量为例,你的应用如果发送的 host 是这个 cname 而不是自己绑定的域名,大概率网关上会有拦截。如果你要指定成自己的 host ,那为啥不再绑定一个域名呢,或者能指定 host 的话,直接用自签名证书也可以。
    joyanhui
        12
    joyanhui  
    OP
       353 天前
    @Shiroka 谢谢!理解了。

    @hefish 嗯嗯,自签了。

    @cpstar 您和其他人都误会了,这个场景,不是传统意义的 cdn
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2755 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 09:38 · PVG 17:38 · LAX 01:38 · JFK 04:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.