Oletuksena Let's Encrypt käyttää HTTP-01-haastetta omistajuuden vahvistamiseen. HTTP-01-haaste asettaa tiedoston verkkopalvelimesi Webrootiin ja käyttää verkkopalvelimen DNS-nimeä tiedoston hakemiseen. Jos tiedosto voidaan noutaa Internetistä, verkkotunnuksen auktoriteetti varmistetaan ja SSL-sertifikaatti myönnetään. Se on hyvä useimmille palvelimille ja kotikäyttäjille, joilla on varaa julkiseen IP-osoitteeseen Internet-palveluntarjoajaltaan (ISP).
Mutta entä jos haluat käyttää Let’s Encrypt SSL -varmenteita kotiverkkosi tai yksityisen/sisäisen verkkosi verkkotunnusten nimissä? Useimmissa kotiverkoissa Let’s Encrypt SSL -varmenteen saaminen on haaste, koska Internet-palveluntarjoajasi ei todennäköisesti anna sinulle julkista IP-osoitetta. Et siis voi läpäistä Let’s Encrypt HTTP-01 -haastetta (koska tietokoneillesi/palvelimillesi ei ole pääsyä Internetistä).
Tässä tapauksessa voit käyttää Let’s Encrypt DNS-01 -haastetta hankkiaksesi SSL-sertifikaatit koti-/sisäverkkoosi. Tässä menetelmässä Let’s Encrypt lisää DNS TXT -tietueen DNS-palvelimesi 'aliverkkotunnukselle _acme-challenge.yourdomain.xyz' ja tarkistaa, onko DNS TXT -tietue saatavilla Internetistä. Jos TXT-tietue täsmää, sinut on vahvistettu verkkotunnuksen omistajaksi ja Let’s Encrypt myöntää SSL-varmenteen.
Jotta Let’s Encrypt DNS-01 -haaste toimisi ja uusiisi SSL-varmenteen automaattisesti, sinun on käytettävä DNS-palveluntarjoajaa (eli CloudFlare, DigitalOcean), joka paljastaa API:n, jota voidaan käyttää DNS-palvelimen TXT-tietueiden lisäämiseen/poistamiseen.
Jos DNS-rekisteröijäsi (johon rekisteröit verkkotunnuksen) ei tue tällaisia palveluita, voit käyttää kolmannen osapuolen DNS-palveluntarjoajaa. Sinun tarvitsee vain vaihtaa verkkotunnuksesi DNS-nimipalvelimen osoite DNS-rekisteröijän DNS-palvelimesta haluamasi kolmannen osapuolen DNS-palveluntarjoajan DNS-nimipalvelimen osoitteeksi.
Sisällön aihe:
- Luettelo DNS-palveluntarjoajista, jotka integroituvat helposti Let’s Encrypt DNS Validationin kanssa
- Luettelo Let's Encrypt ACME-asiakkaista
- DNS-nimipalvelimen vaihtaminen verkkotunnuksen rekisteröijästä
- Let’s Encrypt DNS-01 -validoinnin edut
- Let's Encrypt DNS-01 -validoinnin haitat
- Johtopäätös
- Viitteet
Luettelo DNS-palveluntarjoajista, jotka integroituvat helposti Let’s Encrypt DNS Validationin kanssa
Let’s Encrypt -yhteisö koonnut a luettelo DNS-palveluntarjoajista jotka paljastavat jonkinlaisen API:n lisäämään/poistamaan automaattisesti DNS-tietueita, jotta Let’s Encrypt -asiakkaat voivat vahvistaa verkkotunnusten nimet ja myöntää SSL-varmenteita.
Luettelo DNS-palveluntarjoajista, jotka integroituvat helposti Let’s Encrypt DNS -validointiin, löytyy osoitteesta tämä linkki .
Luettelo Let's Encrypt ACME-asiakkaista
Let's Encrypt -asiakkaita kutsutaan myös ACME-asiakkaiksi. ACME on lyhenne sanoista Automatic Certificate Management Environment. ACME on protokolla, jolla automatisoidaan tietokoneen/palvelimen ja varmenteen myöntäjän välinen vuorovaikutus (eli Let’s Encrypt).
Suosituimmat Let’s Encrypt ACME -asiakkaat ovat:
DNS-nimipalvelimen vaihtaminen verkkotunnuksen rekisteröijästä
Jos verkkotunnuksesi rekisteröijä ei ole niiden DNS-palveluntarjoajien luettelossa, jotka integroituvat helposti Let’s Encryptiin, voit käyttää CloudFlarea tai muita kolmannen osapuolen DNS-palveluntarjoajia. Sinun tarvitsee vain vaihtaa verkkotunnuksesi DNS-nimipalvelin verkkotunnuksesi rekisteröijän kojelaudasta sen kolmannen osapuolen DNS-palveluntarjoajan DNS-nimipalvelimeksi, jota haluat käyttää.
Näytimme sinulle seuraavassa kuvakaappauksessa prosessin, jolla DNS-nimipalvelin vaihdetaan (CloudFlaren DNS-palvelimeksi) yhdelle verkkotunnuksellemme verkkotunnuksen rekisteröijämme kojelaudalta/verkkosivustolta (jolle rekisteröimme verkkotunnuksemme). Prosessin tulisi olla samanlainen verkkotunnuksesi rekisteröijässä. Saat lisätietoja lukemalla verkkotunnuksesi rekisteröijän dokumentaatiota tai ottamalla yhteyttä heihin.
Let’s Encrypt DNS-01 -validoinnin edut
Let’s Encryptin DNS-01-validoinnin edut ovat:
- Se ei vaadi julkista/Internet-saatavilla olevaa IP-osoitetta tai verkkopalvelinta.
- Voit käyttää sitä SSL-sertifikaattien myöntämiseen jokerimerkkien verkkotunnusten nimille (esim. *.nodekite.com, *.linuxhint.com).
- Se toimii hyvin useille web-palvelimille.
Let's Encrypt DNS-01 -validoinnin haitat
Vaikka Let’s Encrypt DNS-01 -tarkistuksella on monia etuja, siinä on myös joitain haittoja:
- Jotta DNS-01-tarkistus toimisi, sinun on säilytettävä DNS-palveluntarjoajasi API-avain/tunnus palvelimella, jota Let’s Encrypt -asiakas käyttää TXT-tietueen luomiseen DNS-palvelimelle DNS-01-tarkistusta varten. Koska API-avain/tunnus säilytetään palvelimella, jos palvelin hakkeroidaan, on mahdollista, että API-avain/tunnus vaarantuu.
- Sen jälkeen, kun Let’s Encrypt -asiakas on lisännyt TXT-tietueen DNS-palvelimelle, kestää jonkin aikaa, ennen kuin muutokset levitetään muille DNS-nimipalvelimille maailmanlaajuisesti. Let’s Encrypt -asiakkaan on odotettava muutosten leviämistä yleisille DNS-nimipalvelimille maailmanlaajuisesti varmistaakseen verkkotunnuksen omistajuuden. Jos DNS-palveluntarjoajasi ei anna DNS-etenemisaikaa API:ssa, Let’s Encrypt -asiakas ei tiedä, kuinka kauan sen on odotettava DNS-muutosten leviämistä muille nimipalvelimille maailmanlaajuisesti. Siinä tapauksessa DNS-tarkistus saattaa aikakatkaista, ja Let’s Encrypt ei ehkä pysty antamaan SSL-varmennetta.
Johtopäätös
Tässä artikkelissa keskustelimme Let’s Encrypt DNS-01 -haastuksesta ja siitä, miksi sitä käytetään HTTP-01-oletushaasteen sijaan verkkotunnuksen omistajuuden tarkistamiseen. Keskustelimme myös Let’s Encrypt DNS-01 -haasteen läpäisemisestä Let’s Encrypt SSL -varmenteen saamiseksi. Luettelimme DNS-palveluntarjoajat, jotka integroituvat hyvin Let's Encryptiin, sekä Let's Encrypt ACME -asiakkaat, joita voit käyttää DNS-tarkistuksen suorittamiseen tietokoneeltasi/palvelimeltasi. Lopuksi keskustelimme Let’s Encrypt DNS -validoinnin eduista ja haitoista.
Viitteet:
- Haastetyypit – Salataan
- DNS-palveluntarjoajat, jotka integroituvat helposti Let’s Encrypt DNS -validointiin – Issuance Tech – Let’s Encrypt Community Support
- Automaattinen sertifikaattien hallintaympäristö – Wikipedia
- Certbot
- GitHub – acmesh-official/acme.sh: Puhdas Unix-komentosarja, joka toteuttaa ACME-asiakasprotokollan
- Asennus :: Salataan Go:lla kirjoitettu asiakas ja ACME-kirjasto.
- Etusivu – Posh-ACME