Alapértelmezés szerint a Let’s Encrypt a HTTP-01 kihívást használja a tulajdonjog ellenőrzésére. A HTTP-01 kihívás egy fájlt helyez el a webszerver Webgyökérébe, és a webszerver DNS-nevét használja a fájl lekéréséhez. Ha a fájl lekérhető az internetről, a domain név jogosultsága ellenőrzésre kerül, és kiadják az SSL-tanúsítványt. Ez jó a legtöbb szerver és otthoni felhasználó számára, akik megengedhetik maguknak, hogy nyilvános IP-címet adjanak internetszolgáltatójuktól (ISP).
De mi van akkor, ha a Let’s Encrypt SSL-tanúsítványokat szeretné használni az otthoni hálózata vagy a privát/belső hálózat tartománynevéhez? Nos, a legtöbb otthoni hálózatban a Let’s Encrypt SSL-tanúsítvány beszerzése kihívást jelent, mert valószínűleg az internetszolgáltató nem ad meg nyilvános IP-címet. Így nem fogja tudni átadni a Let’s Encrypt HTTP-01 kihívást (mivel számítógépei/kiszolgálói nem érhetők el az internetről).
Ebben az esetben használhatja a Let’s Encrypt DNS-01 kihívást, hogy megszerezze az SSL-tanúsítványokat otthoni/belső hálózatához. Ennél a módszernél a Let’s Encrypt hozzáad egy DNS TXT rekordot az „_acme-challenge.yourdomain.xyz” aldomainhez a DNS-kiszolgálón, és ellenőrzi, hogy a DNS TXT rekord elérhető-e az interneten. Ha a TXT rekord egyezik, Ön a domain tulajdonosaként igazolódik, és a Let’s Encrypt kiadja az SSL-tanúsítványt.
Ahhoz, hogy a Let’s Encrypt DNS-01 kihívás működjön, és automatikusan megújítsa az SSL-tanúsítványt, olyan DNS-szolgáltatót (azaz CloudFlare-t, DigitalOcean-t) kell használnia, amely felfed egy API-t, amellyel hozzáadható/eltávolítható a TXT rekordok a DNS-kiszolgálón.
Ha az Ön DNS-regisztrátora (ahol a domain nevet regisztrálta) nem támogatja az ilyen szolgáltatásokat, használhat harmadik fél DNS-szolgáltatót. Mindössze annyit kell tennie, hogy módosítsa a domain DNS-névszerver-címét a DNS-regisztrátor DNS-kiszolgálójáról a kívánt harmadik fél DNS-szolgáltatójának DNS-névszerver-címére.
Tartalom témája:
- Azon DNS-szolgáltatók listája, amelyek könnyen integrálódnak a Let’s Encrypt DNS Validation funkcióval
- Titkosítsuk az ACME klienseket
- A DNS névszerver módosítása a domain regisztrátorból
- A Let’s Encrypt DNS-01 érvényesítés előnyei
- A Let’s Encrypt DNS-01 érvényesítés hátrányai
- Következtetés
- Hivatkozások
Azon DNS-szolgáltatók listája, amelyek könnyen integrálódnak a Let’s Encrypt DNS Validation funkcióval
A Let’s Encrypt közösség összeállította a DNS-szolgáltatók listája amelyek egyfajta API-t tesznek lehetővé a DNS-rekordok automatikus hozzáadására/eltávolítására, hogy a Let’s Encrypt kliensek érvényesíthessék a tartományneveket és kiadhassák az SSL-tanúsítványokat.
A Let’s Encrypt DNS-ellenőrzéssel könnyen integrálható DNS-szolgáltatók listája itt található ez a link .
Titkosítsuk az ACME klienseket
A Let’s Encrypt klienseket ACME klienseknek is nevezik. Az ACME az Automatic Certificate Management Environment rövidítése. Az ACME egy protokoll a számítógép/szerver és a tanúsító hatóság közötti interakció automatizálására (azaz a Let’s Encrypt).
A legnépszerűbb Let’s Encrypt ACME kliensek a következők:
A DNS névszerver módosítása a domain regisztrátorból
Ha domainregisztrátora nem szerepel azon DNS-szolgáltatók listáján, amelyek könnyen integrálhatók a Let’s Encrypt szolgáltatással, használhatja a CloudFlare-t vagy más harmadik fél DNS-szolgáltatókat. Mindössze annyit kell tennie, hogy módosítsa a domain DNS-névszerverét a domainregisztrátor irányítópultjáról a használni kívánt külső DNS-szolgáltató DNS-névszerverére.
A következő képernyőképen bemutattuk az egyik domain DNS-névszerverének (a CloudFlare DNS-szerverére) történő módosításának folyamatát a domainregisztrátorunk irányítópultjáról/webhelyéről (ahol a domainnevünket regisztráltuk). A folyamatnak hasonlónak kell lennie a domainregisztrátornál. További információért olvassa el domainregisztrátorának dokumentációját, vagy lépjen kapcsolatba vele.
A Let’s Encrypt DNS-01 érvényesítés előnyei
A Let’s Encrypt DNS-01 érvényesítésének előnyei a következők:
- Nem igényel nyilvános/internetes IP-címet vagy webszervert.
- Használhatja SSL-tanúsítványok kiadására helyettesítő karakteres tartománynevekhez (pl. *.nodekite.com, *.linuxhint.com).
- Jól működik több webszerverhez.
A Let’s Encrypt DNS-01 érvényesítés hátrányai
Bár a Let’s Encrypt DNS-01 érvényesítésnek számos előnye van, van néhány hátránya is:
- Ahhoz, hogy a DNS-01 érvényesítése működjön, meg kell őriznie a DNS-szolgáltató API-kulcsát/tokenjét a szerveren, amelyet a Let’s Encrypt kliens arra fog használni, hogy létrehozzon egy TXT rekordot a DNS-kiszolgálón a DNS-01 ellenőrzéséhez. Mivel az API-kulcs/token a szerveren marad, ha a szervert feltörik, fennáll annak a lehetősége, hogy az API-kulcsot/token-t feltörik.
- Miután a Let’s Encrypt kliens hozzáadott egy TXT-rekordot a DNS-kiszolgálóhoz, eltart egy ideig, amíg a változtatásokat világszerte más DNS-névszervereken továbbítja. A Let’s Encrypt kliensnek meg kell várnia, amíg a változtatások átterjednek a világszerte elterjedt DNS-névszerverekre, hogy ellenőrizzék a tartomány tulajdonjogát. Ha a DNS-szolgáltató nem adja meg a DNS terjesztési idejét az API-ban, a Let’s Encrypt kliens nem fogja tudni, mennyi ideig kell várnia, amíg a DNS-módosítások elterjednek más névkiszolgálókra világszerte. Ebben az esetben előfordulhat, hogy a DNS-ellenőrzés időtúllépést szenved, és a Let’s Encrypt nem ad ki SSL-tanúsítványt.
Következtetés
Ebben a cikkben megvitattuk a Let’s Encrypt DNS-01 kihívást, és azt, hogy miért használja azt az alapértelmezett HTTP-01 kihívás helyett a domain név tulajdonjogának ellenőrzésére. Megbeszéltük a Let’s Encrypt DNS-01 kihívás teljesítésének követelményeit is, hogy megkapjuk a Let’s Encrypt SSL tanúsítványt. Felsoroltuk azokat a DNS-szolgáltatókat, amelyek jól integrálódnak a Let’s Encrypt szolgáltatással, valamint a Let’s Encrypt ACME klienseket, amelyek segítségével elvégezheti a DNS-ellenőrzést számítógépéről/szerveréről. Végül megvitattuk a Let’s Encrypt DNS érvényesítés előnyeit és hátrányait.
Referenciák:
- Kihívástípusok – Titkosítsuk
- DNS-szolgáltatók, akik könnyen integrálhatók a Let’s Encrypt DNS validációval – Issuance Tech – Let’s Encrypt Community Support
- Automatikus tanúsítványkezelő környezet – Wikipédia
- Certbot
- GitHub – acmesh-official/acme.sh: Egy tiszta Unix shell szkript, amely az ACME kliens protokollt valósítja meg
- Telepítés :: Titkosítsuk a Go-ban írt klienst és ACME könyvtárat.
- Kezdőlap – Posh-ACME