Let’s Encrypt privzeto uporablja izziv HTTP-01 za preverjanje lastništva. Izziv HTTP-01 postavi datoteko v Webroot vašega spletnega strežnika in za pridobitev datoteke uporabi ime DNS spletnega strežnika. Če je datoteko mogoče prenesti iz interneta, se preveri avtoriteta imena domene in izda certifikat SSL. To je dobro za večino strežnikov in domačih uporabnikov, ki si lahko privoščijo javni naslov IP pri svojem ponudniku internetnih storitev (ISP).
Kaj pa, če želite uporabiti certifikate Let’s Encrypt SSL za imena domen vašega domačega omrežja ali zasebnega/internega omrežja? No, v večini domačih omrežij je pridobitev certifikata Let’s Encrypt SSL izziv, ker vam ponudnik internetnih storitev najverjetneje ne bo dal javnega naslova IP. Torej ne boste mogli opraviti izziva Let's Encrypt HTTP-01 (ker vaši računalniki/strežniki niso dostopni iz interneta).
V tem primeru lahko uporabite izziv Let’s Encrypt DNS-01 za pridobitev SSL certifikatov za vaše domače/interno omrežje. Pri tej metodi Let’s Encrypt doda zapis DNS TXT za »poddomeno _acme-challenge.yourdomain.xyz« na vašem strežniku DNS in preveri, ali je zapis DNS TXT na voljo v internetu. Če se zapis TXT ujema, ste preverjeni kot lastnik domene in Let’s Encrypt izda potrdilo SSL.
Da bo izziv Let’s Encrypt DNS-01 deloval in samodejno obnovil potrdilo SSL, morate uporabiti ponudnika storitev DNS (tj. CloudFlare, DigitalOcean), ki razkrije API, ki ga je mogoče uporabiti za dodajanje/odstranjevanje zapisov TXT na strežniku DNS.
Če vaš registrar DNS (kjer ste registrirali ime domene) nima podpore za takšne storitve, lahko uporabite drugega ponudnika storitev DNS. Vse, kar morate storiti, je spremeniti naslov imenskega strežnika DNS vaše domene s strežnika DNS vašega registrarja DNS na naslov imenskega strežnika DNS želenega drugega ponudnika storitev DNS.
Tema vsebine:
- Seznam ponudnikov DNS, ki se enostavno integrirajo z Let’s Encrypt DNS Validation
- Seznam odjemalcev Let’s Encrypt ACME
- Spreminjanje imenskega strežnika DNS vašega registrarja domene
- Prednosti preverjanja Let’s Encrypt DNS-01
- Slabosti preverjanja Let’s Encrypt DNS-01
- Zaključek
- Reference
Seznam ponudnikov DNS, ki se enostavno integrirajo z Let’s Encrypt DNS Validation
Skupnost Let’s Encrypt je sestavila seznam ponudnikov DNS ki razkrije nekakšen API za samodejno dodajanje/odstranjevanje zapisov DNS, tako da lahko odjemalci Let’s Encrypt potrdijo imena domen in izdajo potrdila SSL.
Seznam ponudnikov DNS, ki se zlahka integrirajo s preverjanjem DNS Let’s Encrypt, je na voljo na ta povezava .
Seznam odjemalcev Let’s Encrypt ACME
Odjemalci Let’s Encrypt se imenujejo tudi odjemalci ACME. ACME pomeni okolje za samodejno upravljanje potrdil. ACME je protokol za avtomatizacijo interakcije med računalnikom/strežnikom in overiteljem potrdil (t. i. Let’s Encrypt).
Najbolj priljubljeni odjemalci Let’s Encrypt ACME so:
Spreminjanje imenskega strežnika DNS vašega registrarja domene
Če registrar vaše domene ni na seznamu ponudnikov DNS, ki se enostavno integrirajo z Let’s Encrypt, lahko uporabite CloudFlare ali druge ponudnike storitev DNS tretjih oseb. Vse, kar morate storiti, je spremeniti imenski strežnik DNS vaše domene z nadzorne plošče registrarja domene na imenski strežnik DNS drugega ponudnika storitev DNS, ki ga želite uporabiti.
Na naslednjem posnetku zaslona smo vam pokazali postopek spreminjanja imenskega strežnika DNS (v DNS strežnik CloudFlare) za eno od naših domen z nadzorne plošče/spletnega mesta našega registrarja domen (kjer smo registrirali naše ime domene). Postopek bi moral biti podoben za vašega registrarja domene. Za več informacij preberite dokumentacijo vašega registrarja domen ali se obrnite nanj.
Prednosti preverjanja Let’s Encrypt DNS-01
Prednosti validacije DNS-01 podjetja Let’s Encrypt so:
- Ne potrebuje javnega/v internetu dostopnega naslova IP ali spletnega strežnika.
- Uporabite ga lahko za izdajanje potrdil SSL za domenska imena z nadomestnimi znaki (tj. *.nodekite.com, *.linuxhint.com).
- Dobro deluje za več spletnih strežnikov.
Slabosti preverjanja Let’s Encrypt DNS-01
Čeprav ima preverjanje Let’s Encrypt DNS-01 številne prednosti, obstajajo tudi nekatere pomanjkljivosti:
- Da bo preverjanje DNS-01 delovalo, morate v strežniku hraniti ključ/žeton API vašega ponudnika storitev DNS, ki ga bo odjemalec Let’s Encrypt uporabil za ustvarjanje zapisa TXT na strežniku DNS za preverjanje DNS-01. Ker se ključ/žeton API hrani na strežniku, obstaja možnost, da bo ključ/žeton API ogrožen, če pride do vdora v strežnik.
- Ko odjemalec Let’s Encrypt doda zapis TXT na strežnik DNS, traja nekaj časa, da se spremembe prenesejo na druge imenske strežnike DNS po vsem svetu. Odjemalec Let’s Encrypt mora počakati, da se spremembe razširijo na skupne imenske strežnike DNS po vsem svetu, da preveri lastništvo domene. Če vaš ponudnik storitev DNS ne zagotovi časa širjenja DNS v API-ju, odjemalec Let’s Encrypt ne bo vedel, kako dolgo mora čakati, da se spremembe DNS razširijo na druge imenske strežnike po vsem svetu. V tem primeru lahko poteče časovna omejitev preverjanja DNS in Let’s Encrypt morda ne bo izdal potrdila SSL.
Zaključek
V tem članku smo razpravljali o izzivu Let’s Encrypt DNS-01 in zakaj ga uporabiti namesto privzetega izziva HTTP-01 za preverjanje lastništva imena domene. Razpravljali smo tudi o zahtevah za uspešno opravljen izziv Let’s Encrypt DNS-01 za pridobitev SSL certifikata Let’s Encrypt. Našteli smo ponudnike storitev DNS, ki se dobro integrirajo z Let’s Encrypt, kot tudi odjemalce Let’s Encrypt ACME, ki jih lahko uporabite za izvajanje preverjanja DNS iz svojega računalnika/strežnika. Nazadnje smo razpravljali o prednostih in slabostih validacije Let’s Encrypt DNS.
Reference:
- Vrste izzivov – Let’s Encrypt
- Ponudniki DNS, ki se enostavno integrirajo s preverjanjem DNS storitve Let’s Encrypt – Issuance Tech – podpora skupnosti Let’s Encrypt
- Samodejno okolje za upravljanje potrdil – Wikipedia
- Certbot
- GitHub – acmesh-official/acme.sh: čist lupinski skript Unix, ki izvaja odjemalski protokol ACME
- Namestitev :: Odjemalec Let’s Encrypt in knjižnica ACME, napisana v Go.
- Domov – Posh-ACME