是否可以在一个系统(主机A)上创建证书,然后将证书驻留在另一个系统(主机B)上?
主机A具有公有IP地址,并且正在运行Ubuntu ApacheWeb服务器http&https
主机B具有公共IP地址,并且正在运行Ubuntu邮件服务器Postfix/doveot
主机B上没有运行Web服务器,并且除了用于邮件服务的端口外,没有打开任何面向公众的端口。
感谢您的时间。如果您使用的是DNS验证,那么它很简单--您可以在任何机器上获得证书,并在获得证书后将其部署到所需的主机上。
另一种方法是编写脚本以打开主机B上的端口80,在独立模式下使用certbot或acme.sh获取/续订证书,然后再次关闭该端口。感谢您的快速回复。
将立即调查DNS验证。
在过去的两天里,我一直在网上搜索关于如何为后缀配置多个证书的帖子。我以为会像1、2、3一样简单,但更像是后缀,哦,不,不是我。
再次感谢你的信息。嗨@运动鞋,
运动鞋:
如何为后缀配置多个证书
我不太确定你是否已经得到信息,但以防万一...Postfix不支持SNI,这意味着您不能使用覆盖Domain1.tld的证书,也不能使用覆盖Domain2.tld等的另一个证书,但您可以使用一个证书来覆盖多个域(domain1.tld和domain2.tld以及...等)。
干杯,
萨萨努,萨萨努:
后缀不支持SNI
谢谢你帮我留神。向你致敬。
昨天我发现Postfix不支持SNI,这也是我正在寻找一个覆盖三个域的多域证书的原因之一。
希望今天有时间试一试。请注意,对于邮件服务器,您的证书应该只涵盖MX记录中列出的域名和用于POP3/IMAP/SMTP访问的域。证书不必包含它收到的电子邮件中可能跟在@符号后面的所有域。
因此,只有在您不想打开使用独立模式所需的端口时才需要进行DNS验证,而不仅仅是因为您的邮件服务器与您的主域分开托管。补丁程序:
不想打开口岸
补片
对,是这样。此时,我想保持主机B上的这些端口处于关闭状态
以下是为我的方案创建多域证书的正确方法吗?
Certbot certonly--手动--首选-Challenges=dns-d smtp.domain1.tld-d imap.domain1.tld-d smtp.domain2.tld-d imap.domain2.tld-d smtp.domain3.tld-d imap.domain3.tld
我假设我需要每90天做一次这件事,并相应地更新DNS记录,对吗?运动鞋:
以下是为我的方案创建多域证书的正确方法吗?
Certbot certonly--手动--首选-Challenges=dns-d smtp.domain1.tld-d imap.domain1.tld-d smtp.domain2.tld-d imap.domain2.tld-d smtp.domain3.tld-d imap.domain3.tld
是的,这个命令会起作用的。
运动鞋:
我假设我需要每隔90天执行一次此操作并相应地更新DNS记录,这样做对吗?
是的,你必须每隔90天遵循完全相同的程序(或更少的程序,以确保安全,以防某些东西不像预期的那样工作),但……难道没有办法使用API与您的DNS提供商交互吗?每隔60-90天手动执行一次是很痛苦的。,sahsanu:
每隔60-90天手动完成一次是一件痛苦的事情
萨萨努,我同意你的观点。
如果LE验证过程很快,那么也许我应该考虑在该过程中暂时打开http端口,并在验证后关闭。只是讨厌修没坏的东西。
看到实现IMAP/POP/SMTP验证方法会很有趣。甚至可能是自动电子邮件质询验证。
运动鞋:再次感谢你的建议。
如果LE验证过程很快,那么也许我应该考虑在该过程中暂时打开http端口,并在验证后关闭。只是讨厌修没坏的东西。
许多管理员在certbot钩子中打开防火墙,以便在最短的时间内保持打开状态:
Sudo certbot--独立--首选-挑战=http--挂接前‘UFW Allow 80/tcp’--挂接后‘UFW DELETE Allow 80/tcp’-d smtp.domain1.tld,imap.domain1.tld,[..]
这还允许自动续订。当然,这不适用于外部防火墙。
运动鞋:
看到实现IMAP/POP/SMTP验证方法会很有趣。
IETF正在进行标准化的SMTP和IMAP服务器有一种验证方法:
IETF数据记录器
用于电子邮件TLS的自动证书管理环境的扩展
本文档指定了启用自动证书管理环境(ACME)以颁发供TLS电子邮件服务使用的证书所需的标识符和挑战。
还需要一段时间才能准备好让我们考虑实施加密。danb35:
编写脚本以打开主机B上的端口80
我想我正朝那个方向走。
再次感谢你的建议,Patches:
在certbot钩子中打开他们的防火墙
帕奇斯感谢你提供的细节。
