Hva er Let's Encrypt DNS-01 Challenge og hvordan du bruker den for å få SSL-sertifikater?

Hva Er Let S Encrypt Dns 01 Challenge Og Hvordan Du Bruker Den For A Fa Ssl Sertifikater



Let's Encrypt er en gratis og pålitelig SSL-sertifikatmyndighet (CA). Let's Encrypt bruker strenge retningslinjer for å bekrefte eierskapet til et domene og gir kun SSL-sertifikater for de bekreftede domenene.

Som standard bruker Let's Encrypt HTTP-01-utfordringen for å bekrefte eierskapet. HTTP-01-utfordringen legger en fil på webroten til webserveren din og bruker DNS-navnet til webserveren for å hente filen. Hvis filen kan hentes fra internett, bekreftes autoriteten til domenenavnet og SSL-sertifikatet utstedes. Det er bra for de fleste servere og hjemmebrukere som har råd til en offentlig IP-adresse fra deres internettleverandør (ISP).

Men hva om du vil bruke Let's Encrypt SSL-sertifikater for domenenavnene til hjemmenettverket ditt eller private/interne nettverk? Vel, i de fleste hjemmenettverk er det en utfordring å få et Let's Encrypt SSL-sertifikat, fordi Internett-leverandøren din sannsynligvis ikke vil gi deg en offentlig IP-adresse. Så du vil ikke kunne bestå Let's Encrypt HTTP-01-utfordringen (ettersom datamaskinene/serverne dine ikke er tilgjengelige fra internett).





I dette tilfellet kan du bruke Let's Encrypt DNS-01-utfordringen for å få SSL-sertifikatene for ditt hjemme-/interne nettverk. I denne metoden legger Let's Encrypt til en DNS TXT-post for 'underdomenet _acme-challenge.yourdomain.xyz' på DNS-serveren din og sjekker om DNS TXT-posten er tilgjengelig fra internett. Hvis TXT-posten samsvarer, bekreftes du som eier av domenet, og Let's Encrypt utsteder SSL-sertifikatet.



For at Let's Encrypt DNS-01-utfordringen skal fungere og automatisk fornye SSL-sertifikatet, må du bruke en DNS-tjenesteleverandør (dvs. CloudFlare, DigitalOcean) som avslører en API som kan brukes til å legge til/fjerne TXT-postene på DNS-serveren.



Hvis DNS-registratoren din (der du registrerte domenenavnet) ikke har støtte for slike tjenester, kan du bruke en tredjeparts DNS-tjenesteleverandør. Alt du trenger å gjøre er å endre DNS-navneserveradressen til domenet ditt fra DNS-registratorens DNS-server til DNS-navneserveradressen til ønsket tredjeparts DNS-tjenesteleverandør.



Innholdsemne:

  1. Liste over DNS-leverandører som enkelt integreres med Let's Encrypt DNS-validering
  2. Liste over La oss kryptere ACME-klienter
  3. Endre DNS-navneserveren fra domeneregistratoren din
  4. Fordeler med Let's Encrypt DNS-01-validering
  5. Ulemper med Let's Encrypt DNS-01 Validation
  6. Konklusjon
  7. Referanser

Liste over DNS-leverandører som enkelt integreres med Let's Encrypt DNS-validering

Let's Encrypt-fellesskapet kompilerte en liste over DNS-leverandører som avslører en slags API for automatisk å legge til/fjerne DNS-postene slik at Let's Encrypt-klientene kan validere domenenavnene og utstede SSL-sertifikatene.

Listen over DNS-leverandører som enkelt integreres med Let's Encrypt DNS-validering finner du på denne lenken .



Liste over La oss kryptere ACME-klienter

Let's Encrypt-klienter kalles også ACME-klienter. ACME står for Automatic Certificate Management Environment. ACME er en protokoll for å automatisere interaksjonen mellom datamaskinen/serveren og sertifiseringsmyndigheten (dvs. Let's Encrypt).

De mest populære Let's Encrypt ACME-klientene er:

Endre DNS-navneserveren fra domeneregistratoren din

Hvis domeneregistratoren din ikke er på listen over DNS-leverandører som enkelt integreres med Let's Encrypt, kan du bruke CloudFlare eller andre tredjeparts DNS-tjenesteleverandører. Alt du trenger å gjøre er å endre DNS-navneserveren til domenet ditt fra dashbordet til domeneregistratoren til DNS-navneserveren til tredjeparts DNS-tjenesteleverandøren du vil bruke.

Vi viste deg prosessen med å endre DNS-navneserveren (til CloudFlares DNS-server) for et av våre domener fra dashbordet/nettstedet til domeneregistratoren vår (hvor vi registrerte domenenavnet vårt) i følgende skjermbilde. Prosessen skal være lik for domeneregistratoren din. For mer informasjon, les dokumentasjonen til domeneregistratoren din eller kontakt dem.

Fordeler med Let's Encrypt DNS-01-validering

Fordelene med Let's Encrypt sin DNS-01-validering er:

  • Den krever ikke en offentlig/internett-tilgjengelig IP-adresse eller en webserver.
  • Du kan bruke den til å utstede SSL-sertifikater for jokertegndomenenavn (dvs. *.nodekite.com, *.linuxhint.com).
  • Det fungerer bra for flere webservere.

Ulemper med Let's Encrypt DNS-01 Validation

Selv om det er mange fordeler med Let's Encrypt DNS-01-validering, er det også noen ulemper:

  • For at DNS-01-validering skal fungere, må du beholde API-nøkkelen/tokenet til DNS-tjenesteleverandøren din på serveren som en Let's Encrypt-klient vil bruke for å lage en TXT-post på DNS-serveren for DNS-01-validering. Siden API-nøkkelen/tokenet holdes på serveren, hvis serveren er hacket, er det en sjanse for at API-nøkkelen/tokenet blir kompromittert.
  • Etter at Let's Encrypt-klienten legger til en TXT-post på DNS-serveren, tar det en stund å spre endringene til andre DNS-navneservere over hele verden. Let's Encrypt-klienten må vente på at endringene skal spre seg til de vanlige DNS-navneserverne over hele verden for å bekrefte eierskapet til domenet. Hvis DNS-tjenesteleverandøren din ikke oppgir DNS-utbredelsestiden i APIen, vil Let's Encrypt-klienten ikke vite hvor lenge den skal vente på at DNS-endringene skal spres til andre navneservere over hele verden. I så fall kan det hende at DNS-valideringen blir tidsavbrutt, og Let's Encrypt kan mislykkes i å utstede et SSL-sertifikat.

Konklusjon

I denne artikkelen diskuterte vi Let's Encrypt DNS-01-utfordringen og hvorfor bruke den over standard HTTP-01-utfordringen for å bekrefte eierskapet til et domenenavn. Vi diskuterte også kravene for å bestå Let's Encrypt DNS-01-utfordringen for å få et Let's Encrypt SSL-sertifikat. Vi listet opp DNS-tjenesteleverandørene som integreres godt med Let's Encrypt, samt Let's Encrypt ACME-klientene som du kan bruke til å utføre DNS-valideringen fra datamaskinen/serveren din. Til slutt diskuterte vi fordelene og ulempene ved Let's Encrypt DNS-valideringen.

Referanser:

Annen

Kategori

Populære Innlegg

Hvordan konfigurere en Kubernetes-klynge på en AWS EC2-instans?

Raspberry Pi-systemovervåking ved hjelp av Monitorix

Hvordan tildele usikre buffere med Buffer.allocUnsafe() i Node.js?

Hvordan filtrere Docker-bilder etter mønster med jokertegn

Hvordan fjerne CSS fra en Div ved hjelp av jQuery?

Hvordan slå sammen Git og GitHub?

Pandas Sett inn() kolonne

Hvordan lage en flerlinjeligning i LaTeX

Hva er VisualGPT – Alt du trenger å vite

Hvordan kompilere et C++-program i Linux

CHMOD 777: Syntaks og funksjon

Aktiver 2-faktor autentisering ved hjelp av sikkerhetsnøkler – QR-kode – Roblox

SQL RTRIM()

Hvordan løser du feil med uoppnåelig erklæringskode i Java?

Hvordan koble til Bluetooth-enheter i Windows

Hvordan installere Falkon Browser på Raspberry Pi

Hvordan sette miljøvariabler i Linux

Tailwind-verktøy for å kontrollere skriftfamilien til et element

Hvordan installere LXDE Desktop Environment på Debian 12

Slik slår du av RetroPie trygt