עדכון אחרון: | הצגת כל התיעוד
אנו ממליצים בחום לבדוק מול סביבת ההכנה להקמה (Staging) שלנו בטרם שימוש בסביבת פעילות מלאה (Production). מצב זה יאפשר לך לסדר את הדברים כמו שצריך בטרם הנפקת אישורים מהימנים ויפחית את הסיכוי להיתקל במגבלת מיכסה.
כתובת ה־ACME של סביבת ההכנה להקמה מסוג ACME v2 שלנו היא:
https://acme-staging-v02.api.letsencrypt.org/directory
אם נעשה שימוש ב־Certbot, ניתן להשתמש בסביבת ההכנה להקמה שלנו עם הדגלון --test-cert. ללקוחות ACME אחרים, נא לקרוא את ההנחיות שלהם לקבלת מידע על בדיקת מול סביבת ההכנה להקמה שלנו. נא לשים לב שגרסה 2 (v2) של סביבת ההכנה להקמה שלנו דורשת לקוח ACME תומך גרסה 2.
מגבלות מיכסה
סביבת ההכנה להקמה משתמשת באותן מגבלות המיכסה כפי שמתואר עבור סביבת הפעילות המלאה למעט החריגות האלו:
- המגבלה על אישורים לשם תחום רשום היא 30,000 לשבוע.
- המגבלה על אישור כפול היא 30,000 לשבוע.
- המגבלה על תיקופים כושלים היא 60 לשעה.
- המגבלה על החשבונות לכתובת IP היא 50 חשבונות לטווח של 3 שעות לכתובת IP.
- ל־ACME v2, המגבלה על הזמנות חדשות היא 1,500 הזמנות חדשות לטווח של 3 לחשבון.
היררכיית האישורים להכנה להקמה
לסביבת ההכנה להקמה יש היררכיית אישורים שמחקה את סביבת הפעילות המלאה.
אישורי תווך
לסביבת ההכנה להקמה יש שני אישורי תווך פעילים: אישור תווך מסוג RSA בשם „(STAGING) Artificial Apricot R3” ואישור תווך מסוג ECDSA בשם „(STAGING) Ersatz Edamame E1”.
הנפקת ECDSA הופעלה בסביבת ההכנה להקמה ב־24 במרץ 2021 וכל הבקשות לאישורי הכנה להקמה עם מפתחות ECDSA חתומות על ידי „(STAGING) Ersatz Edamame E1” ומשתמשות בהיררכיה של ECDSA. בדומה, כל הבקשות לאישורי סביבת הכנה להקמה עם מפתחות RSA חתומות על ידי „(STAGING) Artificial Apricot R3” ומשתמשות בהיררכיה של RSA. אין דרך לקבל אישור חתום ב־RSA למפתח ECDSA ולהיפך, הדרך לבחור את הגוף המנפיק היא לשלוט בתצורת המפתח שנוצר מקומית.
אישורים עליונים
לסביבת ההכנה להקמה יש שני אישורי על פעילים שאינם נמצאים במאגר המהימנות של הדפדפן/לקוח: „(STAGING) Pretend Pear X1” ו־„(STAGING) Bogus Broccoli X2”. כדי לשנות לקוח לבדיקה בלבד כך שיתן אמון בסביבת ההכנה להקמה למטרות בדיקה ניתן להוסיף את האישורים „(STAGING) Pretend Pear X1” ו/או „(STAGING) Bogus Broccoli X2” למאגר המהימנות שלך למטרות בדיקה. את כל אישורי ההכנה להקמה שלנו ניתן למצוא כאן. חשוב: אין להוסיף את האישור העליון או המתווך של סביבת ההכנה להקמה למאגר המהימנות שמשמש אותך לגלישה רגילה באינטרנט או לפעילויות אחרות מאחר שאין עליהן פיקוח או עומדות באותם תקנים מחמירים כמו האישורים העליונים של סביבת הפעילות המלאה שלנו ולכן אינם בטוחים לשימוש לאף מטרה למעט בדיקות.
שקיפות אישורים
סביבת ההכנה להקמה מגישה טרום אישורים ל־Sapling מבית Let’s Encrypt וליומני בדיקות שקיפות האישורים של testtube מבית Google וכוללת את ה־SCTs (חותמות זמן של אישור חתום) שהוחזרו באישורים שמונפקים.
שילוב רציף / בדיקת פיתוח
לסביבת ההכנה להקמה יש מגבלות מיכסה נדיבות כדי לאפשר בדיקה אבל כנראה שהיא פחות מתאימה לשילוב עם סביבות פיתוח או שילוב רציף (CI). הגשת בקשות רשת לשרתים חיצוניים יכולה להוביל לחוסר יציבות וסביבת ההכנה להקמה אינה מציעה אף דרך „לזייף” DNS או הצלחה בתיקוף אתגר מה שהופך את הקמת מערכת הבדיקות למסובכת יותר.
בנוסף לסביבת ההכנה להקמה מציעה Let’s Encrypt שרת ACME קטן שפותח לסביבות שילוב רציף ופיתוח שנקרא Pebble. הרצת Pebble במכונת הפיתוח או בסביבת הידור הקוד שלך היא מהירה ופשוטה.