在Plesk中设置来自LetsEncrypt.org的免费SSL证书时遇到的速率限制

Question

当我试图从预构建的Plesk托管面板直接从letsencryt.org向主机域添加SSL时，我得到了以下错误：

SSL/TLS证书

错误:无法发出xyz.example.net的SSL/TLS证书加密。已超过xyz.example.net的“每个注册域的证书”比率限制。让我们加密每个注册域不超过20个证书，每个week.，有关详细信息，请参阅相关知识库文章。详细说明来自https://acme-v01.api.letsencrypt.org/acme/new-cert的无效响应。详细信息:类型: urn:acme: Error :rateLimited 状态:429 :创建新证书的错误:：已颁发的证书太多: example.net:请参阅https://letsencrypt.org/docs/rate-limits/

域和子域都没有加密？

为了完成我应该做的事？

或

从命令行工具手动安装Certbot，如下所示

sudo apt-get update
sudo apt-get install software-properties-common
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install python-certbot-nginx
sudo certbot --nginx

是否不可能从web接口直接安装到宿主域，以便反映从同一个IP创建的所有DNS / Web空间。有可能对吗？否则，我们是否应该为每个域/ web空间创建单独的SSL？

从顾问分机：

Answer 1

你一个人有多个问题。

让我们加密限制

的速率

对于速率限制部分，它只是意味着您已经问过了，让我们对同一件事进行太多的加密。当你说“当我试图向主机域添加SSL时”，你到底做了什么？

正如错误信息所述，每个注册域每周不能颁发超过20个证书。这里有一个警告:如果您执行www.example.net和xxx.example.net，那么在这两种情况下注册的域都是example.net，因此您现在有一个2的计数，而这个限制是50

因此，我想，无论出于什么原因，可能是某个地方有一个循环，或者您经常单击某个按钮来请求证书(对不起，我对CPanel或这个特定的加密扩展一无所知)。或者您是否为不同的名称请求了太多的证书，但在单个注册域以下？

在任何情况下，您现在将不得不等待一个星期，或重新开始您的测试使用另一个域名。请注意，让我们加密也有一个“测试”接口，以学习和调试系统。这里记录了这一点：https://letsencrypt.org/docs/staging-environment/也许有一种方法可以将您的CPanel扩展插入到它上，这样您就可以测试和更好地理解您的系统，然后您将能够切换到生产系统。

Certbot

您还可以在任何主机上安装certbot并使用它生成证书。请注意，它只解决了部分问题，您仍然需要管理更新、配置带有证书的DNS服务器等(certbot可以帮助但至少需要配置，对于颁发证书所需的DNS或HTTP验证也是如此)。

请注意，您将受到与上面完全相同的速率限制规则的管理，因此，如果您通过为同一个域或注册域“经常”请求证书而滥用certbot，您将以相同的方式获得HTTP错误，并且没有颁发证书。

为每个域/ web空间创建单独的SSL

你问题的最后一段一点都不清楚，所以我只想给你一些提示。

首先，请停止说SSL。该协议已有20年历史，已被TLS所取代。而且，即使在您的例子中，它也不是真正相关的，因为您对证书(更确切地说是X.509证书)有问题，而不是直接使用TLS。

现在，certbot (或等效)运行的主机(用于创建和更新证书)、用于HTTP验证的网站、用于DNS验证的名称服务器和使用管理的证书的最终网站在技术上都可以在不同的框中分离。但它们也可以放在同一台服务器上，这样可以明显地提高管理的简单性(但安全性可能更低)。当然，您可以使用HTTP验证或DNS验证，而不是两者都使用。

至于证书本身，让我们想象一下您有www.example.com和www.example.net。你有多种选择：

• 要么是两个单独的证书，一个是www.example.com (很可能是在SAN列表中添加了example.com )，另一个是www.example.net。如果域名没有在同一时间注册，或者没有以相同的方式或由相同的人管理，这是有意义的。
• 或者只有一个证书具有SAN列表中的4个名称(.com和.net，有和没有www.)，并配置两个网站来使用这个单一证书。

第一种情况可能为您提供了更大的灵活性/安全性，而代价是维护的两倍。第二种情况可能是一个问题，如果您不希望您的用户看到它们被“捆绑”在一起(但他们可以以其他方式发现它们)，而且如果您有超过100个名称，那么请点击“加密限制”。

在这种情况下，您不能使用通配符证书，因为这两个域不在同一个“根”下。如果希望同时保护www.example.com和admin.example.com，可以为*.example.com请求通配符证书，而不必在证书的SAN部分列出每个网站的名称。