Από προεπιλογή, το Let’s Encrypt χρησιμοποιεί την πρόκληση HTTP-01 για να επαληθεύσει την ιδιοκτησία. Η πρόκληση HTTP-01 τοποθετεί ένα αρχείο στο Webroot του διακομιστή ιστού σας και χρησιμοποιεί το όνομα DNS του διακομιστή ιστού για την ανάκτηση του αρχείου. Εάν το αρχείο μπορεί να ληφθεί από το Διαδίκτυο, επαληθεύεται η εξουσιοδότηση του ονόματος τομέα και εκδίδεται το πιστοποιητικό SSL. Αυτό είναι καλό για τους περισσότερους διακομιστές και τους οικιακούς χρήστες που μπορούν να αντέξουν οικονομικά μια δημόσια διεύθυνση IP από τον πάροχο υπηρεσιών διαδικτύου τους (ISP).
Τι γίνεται όμως αν θέλετε να χρησιμοποιήσετε τα πιστοποιητικά Let’s Encrypt SSL για τα ονόματα τομέα του οικιακού δικτύου ή του ιδιωτικού/εσωτερικού σας δικτύου; Λοιπόν, στα περισσότερα οικιακά δίκτυα, η απόκτηση πιστοποιητικού Let’s Encrypt SSL είναι μια πρόκληση, επειδή πιθανότατα, ο ISP σας δεν θα σας δώσει μια δημόσια διεύθυνση IP. Επομένως, δεν θα μπορείτε να περάσετε την πρόκληση Let’s Encrypt HTTP-01 (καθώς οι υπολογιστές/διακομιστές σας δεν είναι προσβάσιμοι από το διαδίκτυο).
Σε αυτήν την περίπτωση, μπορείτε να χρησιμοποιήσετε την πρόκληση Let’s Encrypt DNS-01 για να λάβετε τα πιστοποιητικά SSL για το σπίτι/εσωτερικό σας δίκτυο. Σε αυτήν τη μέθοδο, το Let's Encrypt προσθέτει μια εγγραφή DNS TXT για τον 'υποτομέα _acme-challenge.yourdomain.xyz' στον διακομιστή DNS και ελέγχει εάν η εγγραφή DNS TXT είναι διαθέσιμη από το Διαδίκτυο. Εάν η εγγραφή TXT ταιριάζει, επαληθεύεστε ως κάτοχος του τομέα και το Let’s Encrypt εκδίδει το πιστοποιητικό SSL.
Για να λειτουργήσει η πρόκληση Let’s Encrypt DNS-01 και να ανανεώσει αυτόματα το πιστοποιητικό SSL, πρέπει να χρησιμοποιήσετε έναν πάροχο υπηρεσιών DNS (π.χ. CloudFlare, DigitalOcean) που εκθέτει ένα API που μπορεί να χρησιμοποιηθεί για την προσθήκη/αφαίρεση των εγγραφών TXT στον διακομιστή DNS.
Εάν ο καταχωρητής DNS (όπου καταχωρίσατε το όνομα τομέα) δεν διαθέτει υποστήριξη για τέτοιες υπηρεσίες, μπορείτε να χρησιμοποιήσετε έναν τρίτο πάροχο υπηρεσιών DNS. Το μόνο που χρειάζεται να κάνετε είναι να αλλάξετε τη διεύθυνση διακομιστή ονομάτων DNS του τομέα σας από τον διακομιστή DNS του καταχωρητή DNS στη διεύθυνση διακομιστή ονομάτων DNS του τρίτου παρόχου υπηρεσιών DNS που επιθυμείτε.
Θέμα Περιεχομένων:
- Λίστα παρόχων DNS που ενσωματώνονται εύκολα με το Let’s Encrypt DNS Validation
- Λίστα Πελατών Let’s Encrypt ACME
- Αλλαγή του διακομιστή ονομάτων DNS από τον καταχωρητή τομέα σας
- Πλεονεκτήματα της επικύρωσης Let’s Encrypt DNS-01
- Μειονεκτήματα της επικύρωσης Let’s Encrypt DNS-01
- συμπέρασμα
- βιβλιογραφικές αναφορές
Λίστα παρόχων DNS που ενσωματώνονται εύκολα με το Let’s Encrypt DNS Validation
Η κοινότητα Let’s Encrypt συνέταξε ένα λίστα παρόχων DNS που εκθέτουν κάποιο είδος API για αυτόματη προσθήκη/αφαίρεση των εγγραφών DNS, έτσι ώστε οι πελάτες Let’s Encrypt να μπορούν να επικυρώσουν τα ονόματα τομέα και να εκδώσουν τα πιστοποιητικά SSL.
Η λίστα των παρόχων DNS που ενσωματώνονται εύκολα με την επικύρωση Let’s Encrypt DNS βρίσκεται στη διεύθυνση αυτός ο σύνδεσμος .
Λίστα Πελατών Let’s Encrypt ACME
Οι πελάτες Let’s Encrypt ονομάζονται επίσης πελάτες ACME. Το ACME σημαίνει Automatic Certificate Management Environment. Το ACME είναι ένα πρωτόκολλο για την αυτοματοποίηση της αλληλεπίδρασης μεταξύ του υπολογιστή/διακομιστή και της αρχής έκδοσης πιστοποιητικών (δηλαδή Let’s Encrypt).
Οι πιο δημοφιλείς πελάτες Let’s Encrypt ACME είναι:
Αλλαγή του διακομιστή ονομάτων DNS από τον καταχωρητή τομέα σας
Εάν ο καταχωρητής τομέα σας δεν βρίσκεται στη λίστα των παρόχων DNS που ενσωματώνονται εύκολα με το Let’s Encrypt, μπορείτε να χρησιμοποιήσετε το CloudFlare ή άλλους παρόχους υπηρεσιών DNS τρίτων. Το μόνο που έχετε να κάνετε είναι να αλλάξετε τον διακομιστή ονομάτων DNS του τομέα σας από τον πίνακα ελέγχου του καταχωρητή τομέα σας στον διακομιστή ονομάτων DNS του τρίτου παρόχου υπηρεσιών DNS που θέλετε να χρησιμοποιήσετε.
Σας δείξαμε τη διαδικασία αλλαγής του διακομιστή ονομάτων DNS (σε διακομιστή DNS του CloudFlare) για έναν από τους τομείς μας από τον πίνακα εργαλείων/ιστότοπο του καταχωρητή τομέα μας (όπου καταχωρίσαμε το όνομα τομέα μας) στο παρακάτω στιγμιότυπο οθόνης. Η διαδικασία θα πρέπει να είναι παρόμοια για τον καταχωρητή τομέα σας. Για περισσότερες πληροφορίες, διαβάστε την τεκμηρίωση του καταχωρητή τομέα σας ή επικοινωνήστε μαζί τους.
Πλεονεκτήματα της επικύρωσης Let’s Encrypt DNS-01
Τα πλεονεκτήματα της επικύρωσης DNS-01 του Let’s Encrypt είναι:
- Δεν απαιτεί δημόσια/προσβάσιμη από το Διαδίκτυο διεύθυνση IP ή διακομιστή web.
- Μπορείτε να το χρησιμοποιήσετε για να εκδώσετε τα πιστοποιητικά SSL για ονόματα τομέα μπαλαντέρ (π.χ. *.nodekite.com, *.linuzhint.com).
- Λειτουργεί καλά για πολλούς διακομιστές Ιστού.
Μειονεκτήματα της επικύρωσης Let’s Encrypt DNS-01
Αν και υπάρχουν πολλά πλεονεκτήματα της επικύρωσης Let’s Encrypt DNS-01, υπάρχουν επίσης ορισμένα μειονεκτήματα:
- Για να λειτουργήσει η επικύρωση DNS-01, πρέπει να διατηρήσετε το κλειδί/το διακριτικό API του παρόχου υπηρεσιών DNS στον διακομιστή τον οποίο θα χρησιμοποιήσει ένας πελάτης Let's Encrypt για να δημιουργήσει μια εγγραφή TXT στον διακομιστή DNS για επικύρωση DNS-01. Καθώς το κλειδί/το διακριτικό API διατηρείται στον διακομιστή, εάν ο διακομιστής παραβιαστεί, υπάρχει πιθανότητα να παραβιαστεί το κλειδί/το διακριτικό API.
- Αφού ο πελάτης Let’s Encrypt προσθέσει μια εγγραφή TXT στον διακομιστή DNS, χρειάζεται λίγος χρόνος για να διαδοθούν οι αλλαγές σε άλλους διακομιστές ονομάτων DNS παγκοσμίως. Ο πελάτης Let’s Encrypt πρέπει να περιμένει να μεταδοθούν οι αλλαγές στους κοινούς διακομιστές ονομάτων DNS παγκοσμίως για να επαληθεύσει την ιδιοκτησία του τομέα. Εάν ο πάροχος υπηρεσιών DNS δεν παρέχει το χρόνο διάδοσης DNS στο API, ο πελάτης Let’s Encrypt δεν θα γνωρίζει πόσο καιρό θα περιμένει για να διαδοθούν οι αλλαγές DNS σε άλλους διακομιστές ονομάτων παγκοσμίως. Σε αυτήν την περίπτωση, η επικύρωση DNS ενδέχεται να λήξει και το Let’s Encrypt ενδέχεται να αποτύχει να εκδώσει πιστοποιητικό SSL.
συμπέρασμα
Σε αυτό το άρθρο, συζητήσαμε την πρόκληση Let’s Encrypt DNS-01 και γιατί να τη χρησιμοποιήσουμε στην προεπιλεγμένη πρόκληση HTTP-01 για να επαληθεύσουμε την ιδιοκτησία ενός ονόματος τομέα. Συζητήσαμε επίσης τις απαιτήσεις για τη μετάδοση της πρόκλησης Let’s Encrypt DNS-01 για τη λήψη πιστοποιητικού Let’s Encrypt SSL. Παραθέσαμε τους παρόχους υπηρεσιών DNS που ενσωματώνονται καλά με το Let’s Encrypt καθώς και τους πελάτες Let’s Encrypt ACME που μπορείτε να χρησιμοποιήσετε για να εκτελέσετε την επικύρωση DNS από τον υπολογιστή/διακομιστή σας. Τέλος, συζητήσαμε τα πλεονεκτήματα και τα μειονεκτήματα της επικύρωσης Let’s Encrypt DNS.
Βιβλιογραφικές αναφορές:
- Τύποι πρόκλησης – Ας κρυπτογραφήσουμε
- Πάροχοι DNS που ενσωματώνονται εύκολα με Let’s Encrypt DNS validation – Issuance Tech – Let’s Encrypt Community Support
- Περιβάλλον αυτόματης διαχείρισης πιστοποιητικών – Wikipedia
- Certbot
- GitHub – acmesh-official/acme.sh: Ένα καθαρό σενάριο κελύφους Unix που υλοποιεί το πρωτόκολλο πελάτη ACME
- Εγκατάσταση :: Ας κρυπτογραφήσουμε τη βιβλιοθήκη πελάτη και ACME γραμμένα στο Go.
- Αρχική σελίδα – Posh-ACME