从防火墙后续订SSL证书

2025-05-10 05:15:03 3
  • 收藏
  • 管理

    我设法为certbot--apache创建了证书,以便为apache准备好文件。然而,由于阿帕奇不支持DNS记录或Web内容,所以当我在我的家庭路由器后面运行时,它出现了故障。我找到了一些(!)安静的时间让我的RPI正确地上网(没有路由器),并在更新我的DNS条目以获得正确的IP地址后创建证书。生活是伟大的,…

    然而,每次我必须更新我的证书,直接上网并跳过路由器,更新证书时,我都必须重做这一点吗?(这是一个有点痛苦的…)或者Certbot将使用现有的证书作为现有的证明并从那里续订?或者,有没有不同的方式来实现续订命令,这样我就可以在没有干预(如cron)的情况下续订证书,并留在我的路由器后面?有没有一个“永久”的dns记录可以让certbot在不需要我人工干预的情况下续订?jfMessier在文章3中解决了这个问题

    谢谢。我试过了,它真的起作用了。令我困惑的是,尽管我在443/tcp上有一个入站连接重定向到我在443/tcp上的内部计算机,但它在初始设置时不起作用。使用相同的计算机设置,直接连接到网络上(在域名系统更新和传播…之后,Hi@jfMessier,

    如果您可以使路由器将入站端口443连接转发到您的服务器(即使在续订期间是临时的),您就可以通过TLS-SNI-01质询,而无需服务器的公共IP地址。

    否则,您应该考虑使用DNS-01质询方法,而不是TLS-SNI-01。正如您所看到的,certbot--Apache不支持这一点,但您可以使用不同的客户端而不是Certbot,或者使用certbot-一种手册-如果您喜欢Certbot将证书安装到您的Apache配置中的功能。像acme.sh这样的客户端与DNS提供商API进行了更广泛的集成,以帮助自动完成这一挑战。

    如果不能在端口443或端口80上接收入站连接,或者不能更改DNS记录,则无法从We‘s Encryption接收证书。设置单个静态DNS记录是不够的;每次您请求新证书时,请求的DNS记录都会更改。与早期关于We‘s Encrypt设计的建议相反,在请求新证书时,现有证书不能以这种或那种方式作为证据。

    如果您的服务器不能供公众访问,并且不能由您自己的计算机以外的设备访问,您可能会更乐于使用自签名证书。在这种情况下,人们可以争辩说,它实际上提供了比CA颁发的证书更好的安全性,而不是更差的安全性。谢谢。我试过了,它真的起作用了。令我困惑的是,尽管我在443/tcp上有一个入站连接重定向到我在443/tcp上的内部计算机,但它在初始设置时不起作用。在相同的计算机设置下,直接连接到网络上(在DNS更新和传播之后),它工作得无懈可击。我担心我将不得不一年四次在互联网上建立直接连接…但设置现在可以在…上运行我成功续签了我的证书。

    作为后来阅读这篇文章的其他人的参考,我的设置是一台树莓PI 3,通过电缆调制解调器连接到家庭路由器后面。路由器将端口22(SSH)和443(HTTPS)上的流量直接重定向到我的RPI。端口80不会重定向到内部。RPI安装了最新的普通Raspbian,以及Apache2和OpenSSL。我还安装了Shellinabox作为我的站点的一个子页面,以便从只允许443/tcp出站的位置访问我的Linux机器,并进行深入的检查。我使用dyndns主机名是为了始终拥有正确的IP地址,我的域的其中一个主机名是指向此dyndns主机名的CNAME。

    上一页:从零开始B2C商城设计思路 下一页:从错误中汲取让产品成功的经验
    全部评论(0)