Подразумевано, Лет’с Енцрипт користи ХТТП-01 изазов да потврди власништво. ХТТП-01 изазов поставља датотеку на Веброот вашег веб сервера и користи ДНС име веб сервера да преузме датотеку. Ако се датотека може преузети са интернета, ауторитет имена домена се верификује и издаје се ССЛ сертификат. То је добро за већину сервера и кућних корисника који могу да приуште јавну ИП адресу од свог провајдера интернет услуга (ИСП).
Али, шта ако желите да користите Лет’с Енцрипт ССЛ сертификате за имена домена ваше кућне мреже или приватне/интерне мреже? Па, у већини кућних мрежа, добијање Лет’с Енцрипт ССЛ сертификата је изазов јер вам највероватније ваш ИСП неће дати јавну ИП адресу. Дакле, нећете моћи да прођете изазов Лет’с Енцрипт ХТТП-01 (пошто ваши рачунари/сервери нису доступни са интернета).
У овом случају, можете користити изазов Лет’с Енцрипт ДНС-01 да бисте добили ССЛ сертификате за своју кућну/интерну мрежу. У овој методи, Лет’с Енцрипт додаје ДНС ТКСТ запис за „поддомен _ацме-цхалленге.иоурдомаин.киз“ на вашем ДНС серверу и проверава да ли је ДНС ТКСТ запис доступан са интернета. Ако се ТКСТ запис подудара, верификовани сте као власник домена и Лет’с Енцрипт издаје ССЛ сертификат.
Да би изазов Лет’с Енцрипт ДНС-01 функционисао и аутоматски обновио ССЛ сертификат, морате да користите добављача ДНС услуге (тј. ЦлоудФларе, ДигиталОцеан) који открива АПИ који се може користити за додавање/уклањање ТКСТ записа на ДНС серверу.
Ако ваш ДНС регистратор (где сте регистровали име домена) нема подршку за такве услуге, можете користити ДНС провајдера треће стране. Све што треба да урадите је да промените адресу ДНС сервера имена вашег домена са ДНС сервера вашег ДНС регистратора у адресу ДНС сервера имена жељеног ДНС провајдера треће стране.
Тема садржаја:
- Листа ДНС провајдера који се лако интегришу уз Лет’с Енцрипт ДНС валидацију
- Листа Лет’с Енцрипт АЦМЕ клијената
- Промена ДНС сервера имена из вашег регистратора домена
- Предности Лет’с Енцрипт ДНС-01 валидације
- Недостаци Лет’с Енцрипт ДНС-01 валидације
- Закључак
- Референце
Листа ДНС провајдера који се лако интегришу уз Лет’с Енцрипт ДНС валидацију
Заједница Лет’с Енцрипт је саставила а листа ДНС провајдера који излажу неку врсту АПИ-ја за аутоматско додавање/уклањање ДНС записа тако да клијенти Лет’с Енцрипт могу да провере имена домена и издају ССЛ сертификате.
Списак ДНС провајдера који се лако интегришу са Лет’с Енцрипт ДНС валидацијом можете пронаћи на овај линк .
Листа Лет’с Енцрипт АЦМЕ клијената
Лет’с Енцрипт клијенти се такође називају АЦМЕ клијенти. АЦМЕ је скраћеница за окружење за аутоматско управљање сертификатима. АЦМЕ је протокол за аутоматизацију интеракције између рачунара/сервера и ауторитета за сертификацију (тј. Лет’с Енцрипт).
Најпопуларнији Лет’с Енцрипт АЦМЕ клијенти су:
Промена ДНС сервера имена из вашег регистратора домена
Ако ваш регистратор домена није на листи ДНС провајдера који се лако интегрише са Лет’с Енцрипт, можете да користите ЦлоудФларе или друге добављаче ДНС услуга треће стране. Све што треба да урадите је да промените ДНС сервер имена вашег домена са контролне табле вашег регистратора домена у ДНС сервер имена ДНС провајдера треће стране који желите да користите.
Показали смо вам процес промене ДНС сервера имена (у ЦлоудФларе-ов ДНС сервер) за један од наших домена са контролне табле/веб сајта нашег регистратора домена (где смо регистровали име нашег домена) на следећем снимку екрана. Процес би требао бити сличан за вашег регистратора домена. За више информација прочитајте документацију вашег регистратора домена или их контактирајте.
Предности Лет’с Енцрипт ДНС-01 валидације
Предности Лет’с Енцрипт провере ДНС-01 су:
- Не захтева јавну/интернет приступну ИП адресу или веб сервер.
- Можете га користити за издавање ССЛ сертификата за називе домена са џокер знаком (тј. *.нодеките.цом, *.линукхинт.цом).
- Добро ради за више веб сервера.
Недостаци Лет’с Енцрипт ДНС-01 валидације
Иако постоје многе предности Лет’с Енцрипт ДНС-01 валидације, постоје и неки недостаци:
- Да би провера ваљаности ДНС-01 функционисала, потребно је да задржите АПИ кључ/токен вашег добављача ДНС услуга на серверу који ће Лет’с Енцрипт клијент користити за креирање ТКСТ записа на ДНС серверу за проверу ДНС-01. Пошто се АПИ кључ/токен чува на серверу, ако је сервер хакован, постоји шанса да ће АПИ кључ/токен бити компромитован.
- Након што клијент Лет’с Енцрипт дода ТКСТ запис на ДНС сервер, потребно је неко време да се промене пропагирају на друге ДНС сервере имена широм света. Клијент Лет’с Енцрипт треба да сачека да се промене прошире на уобичајене ДНС сервере имена широм света да би потврдио власништво над доменом. Ако ваш добављач ДНС услуге не обезбеди време ширења ДНС-а у АПИ-ју, клијент Лет’с Енцрипт неће знати колико дуго треба да чека да се промене ДНС-а пропагирају на друге сервере имена широм света. У том случају, ДНС валидација може да истекне, а Лет’с Енцрипт можда неће успети да изда ССЛ сертификат.
Закључак
У овом чланку смо разговарали о изазову Лет’с Енцрипт ДНС-01 и зашто га користити преко подразумеваног ХТТП-01 изазова да бисмо потврдили власништво над именом домена. Такође смо разговарали о захтевима за полагање Лет’с Енцрипт ДНС-01 изазова за добијање Лет’с Енцрипт ССЛ сертификата. Навели смо добављаче ДНС услуга који се добро интегришу са Лет’с Енцрипт, као и Лет’с Енцрипт АЦМЕ клијенте које можете да користите за обављање ДНС валидације са свог рачунара/сервера. На крају, разговарали смо о предностима и недостацима Лет’с Енцрипт ДНС валидације.
Референце:
- Врсте изазова - Хајде да шифрујемо
- ДНС провајдери који се лако интегришу са Лет’с Енцрипт ДНС валидацијом – Иссуанце Тецх – Подршка заједнице Лет’с Енцрипт
- Окружење за аутоматско управљање сертификатима – Википедија
- Цертбот
- ГитХуб – ацмесх-оффициал/ацме.сх: чиста Уник схелл скрипта која имплементира АЦМЕ клијентски протокол
- Инсталација :: Хајде да шифрујемо клијента и АЦМЕ библиотеку написану у Го.
- Почетна – Посх-АЦМЕ