Pēc noklusējuma Let’s Encrypt izmanto HTTP-01 izaicinājumu, lai pārbaudītu īpašumtiesības. HTTP-01 izaicinājums ievieto failu jūsu tīmekļa servera Webroot un izmanto tīmekļa servera DNS nosaukumu, lai ielādētu failu. Ja failu var izgūt no interneta, domēna vārda autoritāte tiek pārbaudīta un tiek izsniegts SSL sertifikāts. Tas ir piemērots lielākajai daļai serveru un mājas lietotāju, kuri var atļauties publisko IP adresi no sava interneta pakalpojumu sniedzēja (ISP).
Bet ko darīt, ja vēlaties izmantot Let’s Encrypt SSL sertifikātus sava mājas tīkla vai privātā/iekšējā tīkla domēnu nosaukumiem? Lielākajā daļā mājas tīklu Let’s Encrypt SSL sertifikāta iegūšana ir izaicinājums, jo, visticamāk, jūsu ISP jums nesniegs publisku IP adresi. Tātad jūs nevarēsit izturēt izaicinājumu Let’s Encrypt HTTP-01 (jo jūsu datori/serveri nav pieejami no interneta).
Šādā gadījumā varat izmantot izaicinājumu Let’s Encrypt DNS-01, lai iegūtu SSL sertifikātus savam mājas/iekšējam tīklam. Izmantojot šo metodi, Let’s Encrypt pievieno DNS TXT ierakstu jūsu DNS servera apakšdomēnam _acme-challenge.yourdomain.xyz un pārbauda, vai DNS TXT ieraksts ir pieejams no interneta. Ja TXT ieraksts atbilst, jūs esat apstiprināts kā domēna īpašnieks un Let’s Encrypt izsniedz SSL sertifikātu.
Lai uzdevums Let’s Encrypt DNS-01 darbotos un automātiski atjaunotu SSL sertifikātu, ir jāizmanto DNS pakalpojumu sniedzējs (t.i., CloudFlare, DigitalOcean), kas atklāj API, ko var izmantot, lai pievienotu/noņemtu TXT ierakstus DNS serverī.
Ja jūsu DNS reģistrators (kur jūs reģistrējāt domēna nosaukumu) neatbalsta šādus pakalpojumus, varat izmantot trešās puses DNS pakalpojumu sniedzēju. Viss, kas jums jādara, ir mainīt sava domēna DNS nosaukumu servera adresi no DNS reģistratūras DNS servera uz vēlamā trešās puses DNS pakalpojumu sniedzēja DNS nosaukumu servera adresi.
Satura tēma:
- To DNS pakalpojumu sniedzēju saraksts, kuri viegli integrējas, izmantojot Let’s Encrypt DNS validāciju
- ACME klientu saraksts
- DNS vārda servera maiņa no domēna reģistratūras
- Let’s Encrypt DNS-01 validācijas priekšrocības
- DNS-01 validācijas trūkumi
- Secinājums
- Atsauces
To DNS pakalpojumu sniedzēju saraksts, kuri viegli integrējas, izmantojot Let’s Encrypt DNS validāciju
Kopiena Let’s Encrypt apkopoja a DNS pakalpojumu sniedzēju saraksts kas pakļauj sava veida API, lai automātiski pievienotu/noņemtu DNS ierakstus, lai Let’s Encrypt klienti varētu apstiprināt domēna nosaukumus un izsniegt SSL sertifikātus.
To DNS pakalpojumu sniedzēju saraksts, kuri viegli integrējas ar Let’s Encrypt DNS validāciju, ir atrodams vietnē šo saiti .
ACME klientu saraksts
Let’s Encrypt klientus sauc arī par ACME klientiem. ACME apzīmē automātisko sertifikātu pārvaldības vidi. ACME ir protokols, lai automatizētu mijiedarbību starp datoru/serveri un sertifikācijas iestādi (t.i., Let’s Encrypt).
Populārākie Let’s Encrypt ACME klienti ir:
DNS vārda servera maiņa no domēna reģistratūras
Ja jūsu domēna reģistrētājs nav iekļauts to DNS pakalpojumu sniedzēju sarakstā, kuri viegli integrējas ar Let’s Encrypt, varat izmantot CloudFlare vai citus trešās puses DNS pakalpojumu sniedzējus. Viss, kas jums jādara, ir mainīt sava domēna DNS nosaukumu serveri no domēna reģistratora informācijas paneļa uz tā trešās puses DNS pakalpojumu sniedzēja DNS nosaukumu serveri, kuru vēlaties izmantot.
Nākamajā ekrānuzņēmumā mēs jums parādījām DNS nosaukumu servera nomaiņas procesu (uz CloudFlare DNS serveri) vienam no mūsu domēniem no mūsu domēna reģistratūras informācijas paneļa/vietnes (kur mēs reģistrējām savu domēna nosaukumu). Šim procesam ir jābūt līdzīgam jūsu domēna reģistratoram. Lai iegūtu papildinformāciju, izlasiet sava domēna reģistratūras dokumentāciju vai sazinieties ar viņu.
Let’s Encrypt DNS-01 validācijas priekšrocības
Let’s Encrypt’s DNS-01 validācijas priekšrocības ir:
- Tam nav nepieciešama publiska/internetam pieejama IP adrese vai tīmekļa serveris.
- Varat to izmantot, lai izsniegtu SSL sertifikātus aizstājējzīmju domēna nosaukumiem (t.i., *.nodekite.com, *.linuxhint.com).
- Tas labi darbojas vairākiem tīmekļa serveriem.
DNS-01 validācijas trūkumi
Lai gan Let’s Encrypt DNS-01 validācijai ir daudz priekšrocību, ir arī daži trūkumi:
- Lai DNS-01 validācija darbotos, serverī ir jāsaglabā sava DNS pakalpojumu sniedzēja API atslēga/tokens, ko Let’s Encrypt klients izmantos, lai izveidotu TXT ierakstu DNS serverī DNS-01 validācijai. Tā kā API atslēga/marķieris tiek glabāts serverī, ja serveris tiek uzlauzts, pastāv iespēja, ka API atslēga/tokens tiks apdraudēts.
- Pēc tam, kad Let’s Encrypt klients pievieno TXT ierakstu DNS serverī, paiet zināms laiks, līdz izmaiņas tiek izplatītas citos DNS nosaukumu serveros visā pasaulē. Lai pārbaudītu domēna īpašumtiesības, klientam Let’s Encrypt ir jāgaida, līdz izmaiņas tiks izplatītas parastajos DNS nosaukumu serveros visā pasaulē. Ja jūsu DNS pakalpojumu sniedzējs nenodrošina DNS izplatīšanas laiku API, Let’s Encrypt klients nezinās, cik ilgi jāgaida, līdz DNS izmaiņas tiks izplatītas citos nosaukumu serveros visā pasaulē. Tādā gadījumā DNS validācijai var beigties taimauts, un Let’s Encrypt var neizdoties izsniegt SSL sertifikātu.
Secinājums
Šajā rakstā mēs apspriedām izaicinājumu Let’s Encrypt DNS-01 un to, kāpēc to izmantot, salīdzinot ar noklusējuma HTTP-01 izaicinājumu, lai pārbaudītu domēna vārda īpašumtiesības. Mēs arī apspriedām prasības Let’s Encrypt DNS-01 izaicinājuma nokārtošanai, lai iegūtu Let’s Encrypt SSL sertifikātu. Mēs uzskaitījām DNS pakalpojumu sniedzējus, kas labi integrējas ar Let’s Encrypt, kā arī Let’s Encrypt ACME klientiem, kurus varat izmantot, lai veiktu DNS validāciju no sava datora/servera. Visbeidzot, mēs apspriedām Let’s Encrypt DNS validācijas priekšrocības un trūkumus.
Atsauces:
- Izaicinājumu veidi – šifrēsim
- DNS pakalpojumu sniedzēji, kas viegli integrējas ar Let’s Encrypt DNS validāciju – Issuance Tech – Let’s Encrypt Community Support
- Automātiskā sertifikātu pārvaldības vide — Wikipedia
- Certbot
- GitHub – acmesh-official/acme.sh: tīrs Unix apvalka skripts, kas ievieš ACME klienta protokolu
- Instalēšana :: Šifrēsim Go rakstīto klientu un ACME bibliotēku.
- Sākums – Posh-ACME