据我了解letsencrypt FAQ,在多个子域上使用证书的推荐方法是使用主题备用名称(SAN)。
我的情况我有越来越多的子域名,我无法预测名称。这意味着每当子域出现在现有子域中时,我都必须更改证书。
如何更改现有证书?只需使用额外的SAN进行更新似乎无法正常工作。
对于它的价值,这就是我续签证书的方式:
letsencrypt certonly --standalone \
--email ssl@example.org \
--renew-by-default \
--agree-tos \
-d www.example.org \
-d example.org \
-d client-a.example.org \
-d client-b.example.org \
-d client-c.example.org
现在我需要添加client-d.example.org。
答案 0 :(得分:1)
如果添加没有--expand标志的新SAN,将创建一个新的证书目录,例如/etc/letsencrypt/live/www.example.com-0001。如果要扩展当前证书,只需附加--expand标志。
但是,如果您无法预测子域名,那么加密版本目前不适合您。它是真正需要通配符证书的一个用例。而且,我们的加密目前还没有提供通配符证书。