Pagal numatytuosius nustatymus „Let’s Encrypt“ naudoja HTTP-01 iššūkį, kad patvirtintų nuosavybės teisę. HTTP-01 iššūkis įdeda failą į jūsų žiniatinklio serverio Webroot ir naudoja žiniatinklio serverio DNS pavadinimą, kad gautų failą. Jei failą galima gauti iš interneto, domeno vardo autoritetas patikrinamas ir išduodamas SSL sertifikatas. Tai tinka daugumai serverių ir namų vartotojų, kurie gali sau leisti viešąjį IP adresą iš savo interneto paslaugų teikėjo (IPT).
Bet ką daryti, jei norite naudoti Let’s Encrypt SSL sertifikatus savo namų tinklo arba privataus / vidinio tinklo domenų pavadinimams? Na, daugelyje namų tinklų gauti Let's Encrypt SSL sertifikatą yra iššūkis, nes greičiausiai jūsų IPT nesuteiks jums viešojo IP adreso. Taigi, jūs negalėsite įveikti „Let’s Encrypt HTTP-01“ iššūkio (nes jūsų kompiuteriai / serveriai nepasiekiami iš interneto).
Tokiu atveju galite naudoti „Let’s Encrypt DNS-01“ iššūkį, kad gautumėte savo namų / vidinio tinklo SSL sertifikatus. Taikant šį metodą, „Let’s Encrypt“ prideda DNS TXT įrašą „subdomenui _acme-challenge.yourdomain.xyz“ jūsų DNS serveryje ir patikrina, ar DNS TXT įrašas pasiekiamas internete. Jei TXT įrašas sutampa, esate patvirtintas kaip domeno savininkas ir Let’s Encrypt išduoda SSL sertifikatą.
Kad „Let’s Encrypt DNS-01“ iššūkis veiktų ir automatiškai atnaujintų SSL sertifikatą, turite naudoti DNS paslaugų teikėją (pvz., „CloudFlare“, „DigitalOcean“), kuris atskleidžia API, kurią galima naudoti TXT įrašams pridėti / pašalinti DNS serveryje.
Jei jūsų DNS registratorius (kur užregistravote domeno vardą) nepalaiko tokių paslaugų, galite naudotis trečiosios šalies DNS paslaugų teikėju. Viskas, ką jums reikia padaryti, tai pakeisti savo domeno DNS vardų serverio adresą iš DNS registratoriaus DNS serverio į pageidaujamo trečiosios šalies DNS paslaugų teikėjo DNS vardų serverio adresą.
Turinio tema:
- DNS teikėjų, kurie lengvai integruojasi su Let’s Encrypt DNS patvirtinimu, sąrašas
- Užšifruokime ACME klientų sąrašas
- DNS vardų serverio keitimas iš domeno registratoriaus
- „Let’s Encrypt DNS-01“ patvirtinimo pranašumai
- Užšifruokime DNS-01 patvirtinimo trūkumai
- Išvada
- Nuorodos
DNS teikėjų, kurie lengvai integruojasi su Let’s Encrypt DNS patvirtinimu, sąrašas
Bendruomenė „Užšifruokime“ sudarė a DNS tiekėjų sąrašas kurie atskleidžia tam tikrą API, kad automatiškai pridėtų / pašalintų DNS įrašus, kad „Let’s Encrypt“ klientai galėtų patvirtinti domenų vardus ir išduoti SSL sertifikatus.
DNS teikėjų, kurie lengvai integruojasi su Let’s Encrypt DNS patvirtinimu, sąrašą galite rasti adresu šią nuorodą .
Užšifruokime ACME klientų sąrašas
Let's Encrypt klientai taip pat vadinami ACME klientais. ACME reiškia Automatic Certificate Management Environment. ACME yra protokolas, skirtas automatizuoti sąveiką tarp kompiuterio/serverio ir sertifikatų institucijos (t. y. Let’s Encrypt).
Populiariausi Let’s Encrypt ACME klientai yra:
DNS vardų serverio keitimas iš domeno registratoriaus
Jei jūsų domeno registratoriaus nėra DNS teikėjų, kurie lengvai integruojasi su Let’s Encrypt, sąraše, galite naudoti „CloudFlare“ ar kitus trečiųjų šalių DNS paslaugų teikėjus. Viskas, ką jums reikia padaryti, tai pakeisti savo domeno DNS vardų serverį iš domeno registratoriaus prietaisų skydelio į trečiosios šalies DNS paslaugų teikėjo, kurį norite naudoti, DNS vardų serverį.
Toliau pateiktoje ekrano kopijoje parodėme vieno iš mūsų domenų DNS vardų serverio (į „CloudFlare“ DNS serverį) keitimo procesą mūsų domenų registratoriaus (kur užregistravome domeno pavadinimą) prietaisų skydelyje / svetainėje. Procesas turėtų būti panašus į jūsų domeno registratorių. Norėdami gauti daugiau informacijos, skaitykite domeno registratoriaus dokumentaciją arba susisiekite su juo.
„Let’s Encrypt DNS-01“ patvirtinimo pranašumai
„Let’s Encrypt“ DNS-01 patvirtinimo pranašumai yra šie:
- Tam nereikia viešo / internetu pasiekiamo IP adreso ar žiniatinklio serverio.
- Jį galite naudoti norėdami išduoti pakaitos simbolių domenų vardų SSL sertifikatus (pvz., *.nodekite.com, *.linuxhint.com).
- Tai gerai veikia keliuose žiniatinklio serveriuose.
Užšifruokime DNS-01 patvirtinimo trūkumai
Nors yra daug Let’s Encrypt DNS-01 patvirtinimo pranašumų, yra ir tam tikrų trūkumų:
- Kad DNS-01 patvirtinimas veiktų, serveryje turite laikyti savo DNS paslaugų teikėjo API raktą / prieigos raktą, kurį Let’s Encrypt klientas naudos kurdamas TXT įrašą DNS serveryje DNS-01 patvirtinimui. Kadangi API raktas / prieigos raktas saugomas serveryje, jei į serverį įsilaužta, yra tikimybė, kad API raktas / prieigos raktas bus pažeistas.
- Kai „Let’s Encrypt“ klientas prideda TXT įrašą DNS serveryje, užtrunka šiek tiek laiko, kol pakeitimai bus perkelti į kitus DNS vardų serverius visame pasaulyje. „Let’s Encrypt“ klientas turi palaukti, kol pakeitimai bus perkelti į įprastus DNS vardų serverius visame pasaulyje, kad patvirtintų domeno nuosavybės teisę. Jei jūsų DNS paslaugų teikėjas nenurodo DNS skleidimo laiko API, Let’s Encrypt klientas nežinos, kiek laiko laukti, kol DNS pakeitimai bus perkelti į kitus vardų serverius visame pasaulyje. Tokiu atveju DNS patvirtinimo laikas gali pasibaigti ir Let’s Encrypt gali nepavykti išduoti SSL sertifikato.
Išvada
Šiame straipsnyje aptarėme iššūkį „Užšifruokime DNS-01“ ir kodėl jį naudoti per numatytąjį HTTP-01 iššūkį domeno vardo nuosavybės teisei patikrinti. Taip pat aptarėme „Let’s Encrypt DNS-01“ iššūkio, norint gauti Let’s Encrypt SSL sertifikatą, reikalavimus. Išvardijome DNS paslaugų teikėjus, kurie gerai integruojasi su Let's Encrypt, taip pat Let's Encrypt ACME klientus, kuriuos galite naudoti DNS patvirtinimui iš savo kompiuterio / serverio. Galiausiai aptarėme „Let’s Encrypt DNS“ patvirtinimo privalumus ir trūkumus.
Nuorodos:
- Iššūkių tipai – Užšifruokime
- DNS teikėjai, kurie lengvai integruojasi su Let’s Encrypt DNS patvirtinimu – Issuance Tech – Let’s Encrypt Community Support
- Automatinė sertifikatų valdymo aplinka – Vikipedija
- Certbot
- GitHub – acmesh-official/acme.sh: grynas Unix apvalkalo scenarijus, įgyvendinantis ACME kliento protokolą
- Diegimas :: Užšifruokime klientą ir ACME biblioteką, parašytą „Go“.
- Pagrindinis puslapis – Posh-ACME