安裝沒有DNS訪問許可權的LetsEncrypt證書

分享于 

2分钟阅读

电脑

  简体 双语

问题:

我的客户有一个域,并将他的域名指向我的机器,所以我可以开发一个站点。 通常,当我控制了DNS的时候,获得LetsEncrypt证书和https工作是相当容易的。 但是,我现在不能这样做,它只是指向我的IP的一个记录,并且我不确定为什么。 任何线索?


回答 1:

让我们加密支持多个ACME挑战类型。 在使用基于dns的域验证时,你的替代方法是使用HTTP质询,在中使用 换句话说,选项。

在这种模式下,CertBot只需要在web目录中放置一个特定的文件,让让我们加密服务器。 但是,你需要一个已经在端口 80上运行的web服务器。

  • 将web服务器配置为在这里域上为 比如 /var/www 服务,通过普通 HTTP。
  • certbot certonly --webroot -w/var/www -d example.com
  • Certbot在/var/www/. well-known/acme-challenge/, 下放了一个文件,让我们加密下载它
  • 现在完成web服务器的配置,并通过HTTPS服务域。
  • ( 请注意,你需要为每个更新保持普通的http port-80 访问工作。 可以将重定向到 HTTPS,但挑战文件仍然需要可以访问。


回答 2:

通常,当我控制了DNS的时候,获得LetsEncrypt证书和https工作是相当容易的。

如果使用 DNS-01 验证站点,则在该过程期间,会将TXT记录临时添加到DNS区域。 假设使用 DNS-01,Certbot似乎无法为验证添加必要的TXT记录。

最简单的选择是使用 HTTP-01 验证代替 --webroot 选项( 如 @grawity). 中所指出的那样) 无法使用这里方法颁发通配符域证书( 比如。 *.example.com), 但你应该能够使用主题替代名( san ) with ( 假设你需要一个也覆盖子域的证书,等等 )。



acc  DNS  LET  cer  
相关文章