Let’s Encrypt štandardne používa na overenie vlastníctva výzvu HTTP-01. Výzva HTTP-01 umiestni súbor na Webroot vášho webového servera a použije názov DNS webového servera na načítanie súboru. Ak je možné súbor stiahnuť z internetu, overí sa autorita názvu domény a vydá sa certifikát SSL. To je dobré pre väčšinu serverov a domácich používateľov, ktorí si môžu dovoliť verejnú IP adresu od svojho poskytovateľa internetových služieb (ISP).
Čo ak však chcete použiť certifikáty Let's Encrypt SSL pre názvy domén vašej domácej siete alebo súkromnej/internej siete? Vo väčšine domácich sietí je získanie certifikátu Let's Encrypt SSL výzvou, pretože váš poskytovateľ internetových služieb vám s najväčšou pravdepodobnosťou neposkytne verejnú IP adresu. Takže nebudete môcť prejsť výzvou Let’s Encrypt HTTP-01 (keďže vaše počítače/servery nie sú dostupné z internetu).
V tomto prípade môžete použiť výzvu Let’s Encrypt DNS-01 na získanie certifikátov SSL pre vašu domácu/internú sieť. Pri tejto metóde Let’s Encrypt pridá záznam DNS TXT pre „subdoménu _acme-challenge.yourdomain.xyz“ na váš server DNS a skontroluje, či je záznam DNS TXT dostupný z internetu. Ak sa záznam TXT zhoduje, ste overený ako vlastník domény a Let’s Encrypt vydá certifikát SSL.
Aby výzva Let’s Encrypt DNS-01 fungovala a automaticky obnovil certifikát SSL, musíte použiť poskytovateľa služieb DNS (t. j. CloudFlare, DigitalOcean), ktorý sprístupní rozhranie API, ktoré možno použiť na pridanie/odstránenie záznamov TXT na serveri DNS.
Ak váš registrátor DNS (kde ste zaregistrovali názov domény) nemá podporu pre takéto služby, môžete použiť poskytovateľa služieb DNS tretej strany. Všetko, čo musíte urobiť, je zmeniť adresu názvového servera DNS vašej domény zo servera DNS vášho registrátora DNS na adresu názvového servera DNS požadovaného poskytovateľa služieb DNS tretej strany.
Téma obsahu:
- Zoznam poskytovateľov DNS, ktorí sa ľahko integrujú s validáciou DNS
- Zoznam klientov Let's Encrypt ACME
- Zmena DNS Nameservera od vášho registrátora domény
- Výhody overovania Let's Encrypt DNS-01
- Nevýhody overenia Let's Encrypt DNS-01
- Záver
- Referencie
Zoznam poskytovateľov DNS, ktorí sa ľahko integrujú s validáciou DNS
Komunita Let’s Encrypt zostavila a zoznam poskytovateľov DNS ktoré odhaľujú nejaký druh rozhrania API na automatické pridávanie/odstraňovanie DNS záznamov, aby klienti Let’s Encrypt mohli overiť názvy domén a vydávať certifikáty SSL.
Zoznam poskytovateľov DNS, ktorí sa ľahko integrujú s overením DNS Let’s Encrypt, nájdete na tento odkaz .
Zoznam klientov Let's Encrypt ACME
Klienti Let’s Encrypt sa nazývajú aj klienti ACME. ACME je skratka pre Automatic Certificate Management Environment. ACME je protokol na automatizáciu interakcie medzi počítačom/serverom a certifikačnou autoritou (t.j. Let’s Encrypt).
Najpopulárnejšími klientmi Let's Encrypt ACME sú:
Zmena DNS Nameservera od vášho registrátora domény
Ak váš registrátor domény nie je na zozname poskytovateľov DNS, ktorí sa ľahko integrujú s Let’s Encrypt, môžete použiť CloudFlare alebo iných poskytovateľov služieb DNS tretích strán. Jediné, čo musíte urobiť, je zmeniť DNS nameserver vašej domény z dashboardu vášho registrátora domény na DNS nameserver poskytovateľa služieb DNS tretej strany, ktorého chcete používať.
Na nasledujúcej snímke obrazovky sme vám ukázali proces zmeny DNS nameservera (na DNS server CloudFlare) pre jednu z našich domén z dashboardu/webovej stránky nášho registrátora domén (kde sme zaregistrovali názov našej domény). Postup by mal byť podobný pre vášho registrátora domény. Pre viac informácií si prečítajte dokumentáciu vášho registrátora domény alebo ho kontaktujte.
Výhody overovania Let's Encrypt DNS-01
Výhody overovania DNS-01 Let’s Encrypt sú:
- Nevyžaduje verejnú/internetovú IP adresu ani webový server.
- Môžete ho použiť na vydávanie certifikátov SSL pre názvy domén so zástupnými znakmi (t. j. *.nodekite.com, *.linuxhint.com).
- Funguje dobre pre viacero webových serverov.
Nevýhody overenia Let's Encrypt DNS-01
Hoci validácia Let’s Encrypt DNS-01 má mnoho výhod, má aj niekoľko nevýhod:
- Aby overenie DNS-01 fungovalo, musíte mať kľúč API/token vášho poskytovateľa služieb DNS na serveri, ktorý klient Let’s Encrypt použije na vytvorenie záznamu TXT na serveri DNS na overenie DNS-01. Keďže kľúč/token API je uložený na serveri, ak je server napadnutý, existuje šanca, že kľúč/token API bude kompromitovaný.
- Potom, čo klient Let’s Encrypt pridá záznam TXT na server DNS, chvíľu potrvá, kým sa zmeny rozšíria na iné menné servery DNS po celom svete. Klient Let’s Encrypt musí počkať, kým sa zmeny rozšíria na bežné názvové servery DNS po celom svete, aby overil vlastníctvo domény. Ak váš poskytovateľ služieb DNS neposkytne čas šírenia DNS v rozhraní API, klient Let’s Encrypt nebude vedieť, ako dlho má čakať, kým sa zmeny DNS rozšíria na iné nameservery po celom svete. V takom prípade môže uplynúť časový limit overenia DNS a Let's Encrypt nemusí vydať certifikát SSL.
Záver
V tomto článku sme diskutovali o výzve Let's Encrypt DNS-01 a o tom, prečo ju používať namiesto predvolenej výzvy HTTP-01 na overenie vlastníctva názvu domény. Diskutovali sme aj o požiadavkách na absolvovanie výzvy Let's Encrypt DNS-01 na získanie certifikátu Let's Encrypt SSL. Uviedli sme poskytovateľov služieb DNS, ktorí sa dobre integrujú s Let's Encrypt, ako aj klientov Let's Encrypt ACME, ktorých môžete použiť na overenie DNS z vášho počítača/servera. Nakoniec sme diskutovali o výhodách a nevýhodách overovania DNS pomocou šifrovania.
Referencie:
- Typy výziev – Poďme šifrovať
- Poskytovatelia DNS, ktorí sa jednoducho integrujú s overením DNS Let's Encrypt – Issuance Tech – Let's Encrypt Community Support
- Prostredie automatickej správy certifikátov – Wikipedia
- Certbot
- GitHub – acmesh-official/acme.sh: čistý unixový shell skript implementujúci klientsky protokol ACME
- Inštalácia :: Let’s Encrypt client a ACME knižnica napísaná v Go.
- Domov – Posh-ACME