Som standard bruger Let's Encrypt HTTP-01-udfordringen til at bekræfte ejerskabet. HTTP-01-udfordringen placerer en fil på din webservers webroot og bruger webserverens DNS-navn til at hente filen. Hvis filen kan hentes fra internettet, bekræftes domænenavnets autoritet, og SSL-certifikatet udstedes. Det er godt for de fleste servere og hjemmebrugere, der har råd til en offentlig IP-adresse fra deres internetudbyder (ISP).
Men hvad hvis du vil bruge Let's Encrypt SSL-certifikater til domænenavnene på dit hjemmenetværk eller private/interne netværk? Nå, i de fleste hjemmenetværk er det en udfordring at få et Let's Encrypt SSL-certifikat, fordi din internetudbyder højst sandsynligt ikke vil give dig en offentlig IP-adresse. Så du vil ikke være i stand til at bestå Let's Encrypt HTTP-01-udfordringen (da dine computere/servere ikke er tilgængelige fra internettet).
I dette tilfælde kan du bruge Let's Encrypt DNS-01-udfordringen til at få SSL-certifikaterne til dit hjemme-/interne netværk. I denne metode tilføjer Let's Encrypt en DNS TXT-post for 'underdomænet _acme-challenge.yourdomain.xyz' på din DNS-server og kontrollerer, om DNS TXT-posten er tilgængelig fra internettet. Hvis TXT-registreringen matcher, er du verificeret som ejer af domænet, og Let's Encrypt udsteder SSL-certifikatet.
For at Let's Encrypt DNS-01-udfordringen skal fungere og automatisk forny SSL-certifikatet, skal du bruge en DNS-tjenesteudbyder (dvs. CloudFlare, DigitalOcean), der afslører en API, der kan bruges til at tilføje/fjerne TXT-posterne på DNS-serveren.
Hvis din DNS-registrator (hvor du har registreret domænenavnet) ikke har support til sådanne tjenester, kan du bruge en tredjeparts DNS-tjenesteudbyder. Alt du skal gøre er at ændre DNS-navneserveradressen på dit domæne fra din DNS-registrators DNS-server til DNS-navneserveradressen på din ønskede tredjeparts DNS-tjenesteudbyder.
Emne for indhold:
- Liste over DNS-udbydere, der nemt kan integreres med Let's Encrypt DNS-validering
- Liste over Lad os kryptere ACME-klienter
- Ændring af DNS-navneserveren fra din domæneregistrator
- Fordele ved Let's Encrypt DNS-01-validering
- Ulemper ved Let's Encrypt DNS-01-validering
- Konklusion
- Referencer
Liste over DNS-udbydere, der nemt kan integreres med Let's Encrypt DNS-validering
Let's Encrypt-fællesskabet kompilerede en liste over DNS-udbydere der afslører en form for API for automatisk at tilføje/fjerne DNS-posterne, så Let's Encrypt-klienterne kan validere domænenavnene og udstede SSL-certifikaterne.
Listen over DNS-udbydere, der nemt kan integreres med Let's Encrypt DNS-validering, kan findes på dette link .
Liste over Lad os kryptere ACME-klienter
Let's Encrypt-klienter kaldes også ACME-klienter. ACME står for Automatic Certificate Management Environment. ACME er en protokol til automatisering af interaktionen mellem computeren/serveren og certifikatmyndigheden (dvs. Let's Encrypt).
De mest populære Let's Encrypt ACME-klienter er:
Ændring af DNS-navneserveren fra din domæneregistrator
Hvis din domæneregistrator ikke er på listen over DNS-udbydere, der nemt kan integreres med Let's Encrypt, kan du bruge CloudFlare eller andre tredjeparts DNS-tjenesteudbydere. Alt du skal gøre er at ændre DNS-navneserveren på dit domæne fra dashboardet på din domæneregistrator til DNS-navneserveren for den tredjeparts DNS-tjenesteudbyder, som du vil bruge.
Vi viste dig processen med at ændre DNS-navneserveren (til CloudFlares DNS-server) for et af vores domæner fra dashboardet/hjemmesiden for vores domæneregistrator (hvor vi registrerede vores domænenavn) i det følgende skærmbillede. Processen bør være den samme for din domæneregistrator. For mere information, læs dokumentationen fra din domæneregistrator eller kontakt dem.
Fordele ved Let's Encrypt DNS-01-validering
Fordelene ved Let's Encrypts DNS-01-validering er:
- Det kræver ikke en offentlig/internet-tilgængelig IP-adresse eller en webserver.
- Du kan bruge det til at udstede SSL-certifikater for jokertegn-domænenavne (dvs. *.nodekite.com, *.linuxhint.com).
- Det fungerer godt for flere webservere.
Ulemper ved Let's Encrypt DNS-01-validering
Selvom der er mange fordele ved Let's Encrypt DNS-01-validering, er der også nogle ulemper:
- For at DNS-01-validering skal fungere, skal du beholde din DNS-tjenesteudbyders API-nøgle/token på serveren, som en Let's Encrypt-klient vil bruge til at oprette en TXT-record på DNS-serveren til DNS-01-validering. Da API-nøglen/token opbevares på serveren, er der en chance for, at API-nøglen/tokenet bliver kompromitteret, hvis serveren hackes.
- Efter at Let's Encrypt-klienten har tilføjet en TXT-post på DNS-serveren, tager det et stykke tid at udbrede ændringerne til andre DNS-navneservere verden over. Let's Encrypt-klienten skal vente på, at ændringerne forplanter sig til de almindelige DNS-navneservere over hele verden for at bekræfte ejerskabet af domænet. Hvis din DNS-tjenesteudbyder ikke leverer DNS-udbredelsestiden i API'en, ved Let's Encrypt-klienten ikke, hvor længe den skal vente på, at DNS-ændringerne spredes til andre navneservere verden over. I så fald kan DNS-valideringen timeout, og Let's Encrypt kan muligvis ikke udstede et SSL-certifikat.
Konklusion
I denne artikel diskuterede vi Let's Encrypt DNS-01-udfordringen, og hvorfor bruge den over standard HTTP-01-udfordringen til at bekræfte ejerskabet af et domænenavn. Vi diskuterede også kravene for at bestå Let's Encrypt DNS-01-udfordringen for at få et Let's Encrypt SSL-certifikat. Vi listede de DNS-tjenesteudbydere, der integrerer godt med Let's Encrypt, samt Let's Encrypt ACME-klienter, som du kan bruge til at udføre DNS-validering fra din computer/server. Til sidst diskuterede vi fordele og ulemper ved Let's Encrypt DNS-validering.
Referencer:
- Udfordringstyper – Lad os kryptere
- DNS-udbydere, der nemt integrerer med Let's Encrypt DNS-validering - Issuance Tech - Let's Encrypt Community Support
- Automatisk certifikatstyringsmiljø – Wikipedia
- Certbot
- GitHub – acmesh-official/acme.sh: Et rent Unix-shell-script, der implementerer ACME-klientprotokol
- Installation :: Lad os kryptere klient og ACME-bibliotek skrevet i Go.
- Hjem – Posh-ACME