Ve výchozím nastavení používá Let’s Encrypt k ověření vlastnictví výzvu HTTP-01. Výzva HTTP-01 umístí soubor na Webroot vašeho webového serveru a použije název DNS webového serveru k načtení souboru. Pokud lze soubor načíst z internetu, je ověřena autorita názvu domény a je vydán SSL certifikát. To je dobré pro většinu serverů a domácích uživatelů, kteří si mohou dovolit veřejnou IP adresu od svého poskytovatele internetových služeb (ISP).
Co když ale chcete použít certifikáty Let’s Encrypt SSL pro názvy domén vaší domácí sítě nebo privátní/interní sítě? Ve většině domácích sítí je získání certifikátu Let’s Encrypt SSL problém, protože váš ISP vám s největší pravděpodobností neposkytne veřejnou IP adresu. Takže nebudete moci projít výzvou Let’s Encrypt HTTP-01 (jelikož vaše počítače/servery nejsou přístupné z internetu).
V tomto případě můžete pomocí výzvy Let’s Encrypt DNS-01 získat certifikáty SSL pro vaši domácí/interní síť. Při této metodě přidá Let’s Encrypt záznam DNS TXT pro „subdoménu _acme-challenge.yourdomain.xyz“ na váš server DNS a zkontroluje, zda je záznam DNS TXT dostupný z internetu. Pokud se záznam TXT shoduje, jste ověřeni jako vlastník domény a Let’s Encrypt vydá certifikát SSL.
Aby výzva Let’s Encrypt DNS-01 fungovala a automaticky obnovil certifikát SSL, musíte použít poskytovatele služeb DNS (tj. CloudFlare, DigitalOcean), který zpřístupní rozhraní API, které lze použít k přidání/odebrání záznamů TXT na serveru DNS.
Pokud váš registrátor DNS (kde jste zaregistrovali název domény) takové služby nepodporuje, můžete využít poskytovatele služeb DNS třetí strany. Vše, co musíte udělat, je změnit adresu DNS nameserveru vaší domény ze serveru DNS vašeho registrátora DNS na adresu DNS nameserveru vašeho požadovaného poskytovatele služeb DNS třetí strany.
Téma obsahu:
- Seznam poskytovatelů DNS, kteří se snadno integrují s ověřováním DNS Let's Encrypt
- Seznam klientů Let's Encrypt ACME
- Změna DNS Nameserveru od vašeho registrátora domény
- Výhody ověřování Let’s Encrypt DNS-01
- Nevýhody ověřování Let’s Encrypt DNS-01
- Závěr
- Reference
Seznam poskytovatelů DNS, kteří se snadno integrují s ověřováním DNS Let's Encrypt
Komunita Let’s Encrypt zkompilovala a seznam poskytovatelů DNS které odhalují nějaký druh API pro automatické přidávání/odebírání DNS záznamů, aby klienti Let’s Encrypt mohli ověřovat názvy domén a vydávat certifikáty SSL.
Seznam poskytovatelů DNS, kteří se snadno integrují s ověřováním DNS Let’s Encrypt, najdete na tento odkaz .
Seznam klientů Let's Encrypt ACME
Klienti Let’s Encrypt se také nazývají klienti ACME. ACME je zkratka pro Automatic Certificate Management Environment. ACME je protokol pro automatizaci interakce mezi počítačem/serverem a certifikační autoritou (tj. Let’s Encrypt).
Nejoblíbenější klienti Let’s Encrypt ACME jsou:
Změna DNS Nameserveru od vašeho registrátora domény
Pokud váš registrátor domény není na seznamu poskytovatelů DNS, kteří se snadno integrují s Let’s Encrypt, můžete použít CloudFlare nebo jiné poskytovatele služeb DNS třetích stran. Jediné, co musíte udělat, je změnit jmenný server DNS vaší domény z řídicího panelu vašeho registrátora domény na jmenný server DNS třetího poskytovatele služeb DNS, kterého chcete používat.
Na následujícím snímku obrazovky jsme vám ukázali proces změny jmenného serveru DNS (na DNS server CloudFlare) pro jednu z našich domén z řídicího panelu/webu našeho registrátora domén (kde jsme zaregistrovali název naší domény). Postup by měl být podobný pro vašeho registrátora domény. Pro více informací si přečtěte dokumentaci svého registrátora domény nebo jej kontaktujte.
Výhody ověřování Let’s Encrypt DNS-01
Výhody ověření DNS-01 Let’s Encrypt jsou:
- Nevyžaduje veřejnou/internetovou IP adresu ani webový server.
- Můžete jej použít k vydávání certifikátů SSL pro názvy domén se zástupnými znaky (tj. *.nodekite.com, *.linuxhint.com).
- Funguje dobře pro více webových serverů.
Nevýhody ověřování Let’s Encrypt DNS-01
Přestože validace Let’s Encrypt DNS-01 má mnoho výhod, má také některé nevýhody:
- Aby ověření DNS-01 fungovalo, musíte mít klíč API/token vašeho poskytovatele služeb DNS na serveru, který klient Let’s Encrypt použije k vytvoření záznamu TXT na serveru DNS pro ověření DNS-01. Vzhledem k tomu, že klíč/token rozhraní API je uchováván na serveru, v případě napadení serveru existuje možnost, že klíč/token rozhraní API bude kompromitován.
- Poté, co klient Let’s Encrypt přidá záznam TXT na server DNS, chvíli trvá, než se změny rozšíří na další jmenné servery DNS po celém světě. Klient Let’s Encrypt musí počkat, až se změny rozšíří na běžné jmenné servery DNS po celém světě, aby ověřil vlastnictví domény. Pokud váš poskytovatel služeb DNS neposkytne čas šíření DNS v rozhraní API, klient Let’s Encrypt nebude vědět, jak dlouho čekat, než se změny DNS rozšíří na další jmenné servery po celém světě. V takovém případě může vypršet časový limit ověření DNS a Let’s Encrypt nemusí vystavit certifikát SSL.
Závěr
V tomto článku jsme diskutovali o výzvě Let’s Encrypt DNS-01 a o tom, proč ji používat před výchozí výzvou HTTP-01 k ověření vlastnictví názvu domény. Diskutovali jsme také o požadavcích na absolvování výzvy Let’s Encrypt DNS-01 pro získání certifikátu Let’s Encrypt SSL. Uvedli jsme poskytovatele služeb DNS, kteří se dobře integrují s Let’s Encrypt, a také klienty Let’s Encrypt ACME, které můžete použít k ověření DNS z vašeho počítače/serveru. Nakonec jsme diskutovali o výhodách a nevýhodách ověření DNS Let’s Encrypt.
Reference:
- Typy výzev – Let's Encrypt
- Poskytovatelé DNS, kteří se snadno integrují s ověřováním DNS Let’s Encrypt – Issuance Tech – Podpora komunity Let’s Encrypt
- Prostředí pro automatickou správu certifikátů – Wikipedie
- Certbot
- GitHub – acmesh-official/acme.sh: Čistý unixový shell skript implementující klientský protokol ACME
- Instalace :: Klienta Let’s Encrypt a knihovnu ACME napsanou v Go.
- Domov – Posh-ACME