Som standard bruker Let's Encrypt HTTP-01-utfordringen for å bekrefte eierskapet. HTTP-01-utfordringen legger en fil på webroten til webserveren din og bruker DNS-navnet til webserveren for å hente filen. Hvis filen kan hentes fra internett, bekreftes autoriteten til domenenavnet og SSL-sertifikatet utstedes. Det er bra for de fleste servere og hjemmebrukere som har råd til en offentlig IP-adresse fra deres internettleverandør (ISP).
Men hva om du vil bruke Let's Encrypt SSL-sertifikater for domenenavnene til hjemmenettverket ditt eller private/interne nettverk? Vel, i de fleste hjemmenettverk er det en utfordring å få et Let's Encrypt SSL-sertifikat, fordi Internett-leverandøren din sannsynligvis ikke vil gi deg en offentlig IP-adresse. Så du vil ikke kunne bestå Let's Encrypt HTTP-01-utfordringen (ettersom datamaskinene/serverne dine ikke er tilgjengelige fra internett).
I dette tilfellet kan du bruke Let's Encrypt DNS-01-utfordringen for å få SSL-sertifikatene for ditt hjemme-/interne nettverk. I denne metoden legger Let's Encrypt til en DNS TXT-post for 'underdomenet _acme-challenge.yourdomain.xyz' på DNS-serveren din og sjekker om DNS TXT-posten er tilgjengelig fra internett. Hvis TXT-posten samsvarer, bekreftes du som eier av domenet, og Let's Encrypt utsteder SSL-sertifikatet.
For at Let's Encrypt DNS-01-utfordringen skal fungere og automatisk fornye SSL-sertifikatet, må du bruke en DNS-tjenesteleverandør (dvs. CloudFlare, DigitalOcean) som avslører en API som kan brukes til å legge til/fjerne TXT-postene på DNS-serveren.
Hvis DNS-registratoren din (der du registrerte domenenavnet) ikke har støtte for slike tjenester, kan du bruke en tredjeparts DNS-tjenesteleverandør. Alt du trenger å gjøre er å endre DNS-navneserveradressen til domenet ditt fra DNS-registratorens DNS-server til DNS-navneserveradressen til ønsket tredjeparts DNS-tjenesteleverandør.
Innholdsemne:
- Liste over DNS-leverandører som enkelt integreres med Let's Encrypt DNS-validering
- Liste over La oss kryptere ACME-klienter
- Endre DNS-navneserveren fra domeneregistratoren din
- Fordeler med Let's Encrypt DNS-01-validering
- Ulemper med Let's Encrypt DNS-01 Validation
- Konklusjon
- Referanser
Liste over DNS-leverandører som enkelt integreres med Let's Encrypt DNS-validering
Let's Encrypt-fellesskapet kompilerte en liste over DNS-leverandører som avslører en slags API for automatisk å legge til/fjerne DNS-postene slik at Let's Encrypt-klientene kan validere domenenavnene og utstede SSL-sertifikatene.
Listen over DNS-leverandører som enkelt integreres med Let's Encrypt DNS-validering finner du på denne lenken .
Liste over La oss kryptere ACME-klienter
Let's Encrypt-klienter kalles også ACME-klienter. ACME står for Automatic Certificate Management Environment. ACME er en protokoll for å automatisere interaksjonen mellom datamaskinen/serveren og sertifiseringsmyndigheten (dvs. Let's Encrypt).
De mest populære Let's Encrypt ACME-klientene er:
Endre DNS-navneserveren fra domeneregistratoren din
Hvis domeneregistratoren din ikke er på listen over DNS-leverandører som enkelt integreres med Let's Encrypt, kan du bruke CloudFlare eller andre tredjeparts DNS-tjenesteleverandører. Alt du trenger å gjøre er å endre DNS-navneserveren til domenet ditt fra dashbordet til domeneregistratoren til DNS-navneserveren til tredjeparts DNS-tjenesteleverandøren du vil bruke.
Vi viste deg prosessen med å endre DNS-navneserveren (til CloudFlares DNS-server) for et av våre domener fra dashbordet/nettstedet til domeneregistratoren vår (hvor vi registrerte domenenavnet vårt) i følgende skjermbilde. Prosessen skal være lik for domeneregistratoren din. For mer informasjon, les dokumentasjonen til domeneregistratoren din eller kontakt dem.
Fordeler med Let's Encrypt DNS-01-validering
Fordelene med Let's Encrypt sin DNS-01-validering er:
- Den krever ikke en offentlig/internett-tilgjengelig IP-adresse eller en webserver.
- Du kan bruke den til å utstede SSL-sertifikater for jokertegndomenenavn (dvs. *.nodekite.com, *.linuxhint.com).
- Det fungerer bra for flere webservere.
Ulemper med Let's Encrypt DNS-01 Validation
Selv om det er mange fordeler med Let's Encrypt DNS-01-validering, er det også noen ulemper:
- For at DNS-01-validering skal fungere, må du beholde API-nøkkelen/tokenet til DNS-tjenesteleverandøren din på serveren som en Let's Encrypt-klient vil bruke for å lage en TXT-post på DNS-serveren for DNS-01-validering. Siden API-nøkkelen/tokenet holdes på serveren, hvis serveren er hacket, er det en sjanse for at API-nøkkelen/tokenet blir kompromittert.
- Etter at Let's Encrypt-klienten legger til en TXT-post på DNS-serveren, tar det en stund å spre endringene til andre DNS-navneservere over hele verden. Let's Encrypt-klienten må vente på at endringene skal spre seg til de vanlige DNS-navneserverne over hele verden for å bekrefte eierskapet til domenet. Hvis DNS-tjenesteleverandøren din ikke oppgir DNS-utbredelsestiden i APIen, vil Let's Encrypt-klienten ikke vite hvor lenge den skal vente på at DNS-endringene skal spres til andre navneservere over hele verden. I så fall kan det hende at DNS-valideringen blir tidsavbrutt, og Let's Encrypt kan mislykkes i å utstede et SSL-sertifikat.
Konklusjon
I denne artikkelen diskuterte vi Let's Encrypt DNS-01-utfordringen og hvorfor bruke den over standard HTTP-01-utfordringen for å bekrefte eierskapet til et domenenavn. Vi diskuterte også kravene for å bestå Let's Encrypt DNS-01-utfordringen for å få et Let's Encrypt SSL-sertifikat. Vi listet opp DNS-tjenesteleverandørene som integreres godt med Let's Encrypt, samt Let's Encrypt ACME-klientene som du kan bruke til å utføre DNS-valideringen fra datamaskinen/serveren din. Til slutt diskuterte vi fordelene og ulempene ved Let's Encrypt DNS-valideringen.
Referanser:
- Utfordringstyper – La oss kryptere
- DNS-leverandører som enkelt integrerer med Let's Encrypt DNS-validering - Issuance Tech - Let's Encrypt Community Support
- Automatisk sertifikatadministrasjonsmiljø – Wikipedia
- Certbot
- GitHub – acmesh-official/acme.sh: Et rent Unix-skallskript som implementerer ACME-klientprotokoll
- Installasjon :: La oss kryptere klient og ACME-bibliotek skrevet i Go.
- Hjem – Posh-ACME