我是一个新手,计划在我的基于MacOS的服务中使用letsEncrypt。目前,我正在使用我自己的CA,并将其根目录分发给需要它的系统。但我需要更广泛的覆盖范围。
我一直在研究letsEncrypt,我的主要问题是我想让它完全自动化,这样我就可以设置cron作业。我怀疑,覆盖主网站将非常容易,但目前我正在使用通配符证书来覆盖所有服务。我可以为我使用的所有服务使用特定的证书,只要我可以依赖自动续订,并且服务不会中断。
我的第一个问题是:如果我使用DNS质询,这是否意味着每次续订时,_acme-challengle TXT记录中的质询都必须更改?如果是这样的话,我无法实现自动化,因为我的DNS是在外部托管的(实际上是拆分DNS)
我的第二个问题是:如果我不使用通配符,并且我试图获得(比方说)www.rna.nl和mail.rna.nl(用于后缀)的证书,那么控制www.rna.nl的webroot就足够了吗?或者mail.rna.nl是否也必须有一个侦听端口443的Web服务器?Hi@gctwnl
Gctwnl:
如果我使用DNS质询,这是否意味着每次续订时,_acme-challengle TXT记录中的质询都必须更改?
是的,该值将会改变。新顺序->新挑战->新挑战令牌->新密钥授权->密钥自动生成的新SHA256->存储为值。但是,如果您的提供商不支持dns-api,您可以使用api-Support创建另一个dns-服务的cname。
Gctwnl:
如果我不使用通配符,并且我试图获得(比方说)www.rna.nl和mail.rna.nl(用于后缀)的证书,那么控制www.rna.nl的webroot就足够了吗,或者mail.rna.nl是否也必须有一个侦听端口443的Web服务器?
你必须证明你控制着每一个域名。因此,如果您使用http-01验证,则在mail.rna.nl下需要一个Web服务器。但这并不是真正的问题。
使用现有的Web服务器,添加新的A记录mail.rna.nl->相同的IP,添加一个重定向的mail.rna.nl->www.rna.nl,即可使用现有的Web服务器。谢谢。我不能为mail.rna.nl添加另一个指向与www.rna.nl相同的IP的A记录,因为两者都有不同的IP地址。但我当然可以为mail.rna.nl添加一个带有空网站的虚拟主机,并允许端口443通信到该网站。
我不能为mail.rna.nl添加另一个指向与www.rna.nl相同的IP的A记录,因为两者都有不同的IP地址。
如果您的mail.rna.nl有另一个IP地址和自己的A记录,您必须在那里有一个正在运行的Web服务器。
Gctwnl:
但我当然可以为mail.rna.nl添加一个带有空网站的虚拟主机,并允许端口443通信到该网站。
没有A-记录-->>IP地址,这个网站是不可见的。是的,我明白这一点。Mail.rna.nl目前只监听外界的邮件端口,www.rna.nl监听80/443。为了能够为mail.rna.nl上的邮件创建letsENCRYPT证书,我必须确保mail.rna.nl正在运行一个向外部世界公开的Web服务器。我宁愿不要,因为它运行的是一个网络邮件环境,我不想向外部世界暴露。