Ce este Let’s Encrypt DNS-01 Challenge și cum se utilizează pentru a obține certificate SSL?

Ce Este Let S Encrypt Dns 01 Challenge Si Cum Se Utilizeaza Pentru A Obtine Certificate Ssl



Let’s Encrypt este o autoritate de certificare SSL (CA) gratuită și de încredere. Let’s Encrypt utilizează politici stricte pentru a verifica dreptul de proprietate asupra unui domeniu și oferă certificate SSL numai pentru acele domenii verificate.

În mod implicit, Let’s Encrypt utilizează provocarea HTTP-01 pentru a verifica calitatea de proprietar. Provocarea HTTP-01 plasează un fișier pe webroot-ul serverului dvs. web și folosește numele DNS al serverului web pentru a prelua fișierul. Dacă fișierul poate fi preluat de pe internet, se verifică autoritatea numelui de domeniu și se eliberează certificatul SSL. Acest lucru este bun pentru majoritatea serverelor și utilizatorilor casnici care își permit o adresă IP publică de la furnizorul lor de servicii de internet (ISP).

Dar, ce se întâmplă dacă doriți să utilizați certificatele Let’s Encrypt SSL pentru numele de domenii ale rețelei dvs. de domiciliu sau ale rețelei private/interne? Ei bine, în majoritatea rețelelor de acasă, obținerea unui certificat Let’s Encrypt SSL este o provocare, deoarece, cel mai probabil, ISP-ul dvs. nu vă va oferi o adresă IP publică. Deci, nu veți putea trece provocarea Let’s Encrypt HTTP-01 (deoarece computerele/serverele dvs. nu sunt accesibile de pe internet).





În acest caz, puteți folosi provocarea Let’s Encrypt DNS-01 pentru a obține certificatele SSL pentru rețeaua dvs. de domiciliu/internă. În această metodă, Let’s Encrypt adaugă o înregistrare DNS TXT pentru „subdomeniul _acme-challenge.yourdomain.xyz” pe serverul DNS și verifică dacă înregistrarea DNS TXT este disponibilă de pe internet. Dacă înregistrarea TXT se potrivește, sunteți verificat ca proprietar al domeniului și Let’s Encrypt emite certificatul SSL.



Pentru ca provocarea Let’s Encrypt DNS-01 să funcționeze și să reînnoiască automat certificatul SSL, trebuie să utilizați un furnizor de servicii DNS (adică CloudFlare, DigitalOcean) care expune un API care poate fi utilizat pentru a adăuga/elimina înregistrările TXT de pe serverul DNS.



Dacă registratorul dvs. DNS (unde ați înregistrat numele de domeniu) nu are suport pentru astfel de servicii, puteți utiliza un furnizor de servicii DNS terț. Tot ce trebuie să faceți este să schimbați adresa serverului de nume DNS a domeniului dvs. de la serverul DNS al registratorului DNS la adresa serverului de nume DNS a furnizorului de servicii DNS terț dorit.



Subiect de conținut:

  1. Lista furnizorilor de DNS care se integrează ușor cu Validarea DNS Let’s Encrypt
  2. Lista clienților Let’s Encrypt ACME
  3. Schimbarea serverului de nume DNS din registratorul de domeniu
  4. Avantajele validării Let’s Encrypt DNS-01
  5. Dezavantajele validării Let’s Encrypt DNS-01
  6. Concluzie
  7. Referințe

Lista furnizorilor de DNS care se integrează ușor cu Validarea DNS Let’s Encrypt

Comunitatea Let’s Encrypt a compilat un lista furnizorilor de DNS care expun un fel de API pentru a adăuga/elimina automat înregistrările DNS, astfel încât clienții Let’s Encrypt să poată valida numele de domenii și să emită certificatele SSL.

Lista furnizorilor de DNS care se integrează ușor cu validarea DNS Let’s Encrypt poate fi găsită la acest link .



Lista clienților Let’s Encrypt ACME

Clienții Let’s Encrypt sunt numiți și clienți ACME. ACME înseamnă Automatic Certificate Management Environment. ACME este un protocol pentru automatizarea interacțiunii dintre computer/server și autoritatea de certificare (adică Let’s Encrypt).

Cei mai populari clienți Let’s Encrypt ACME sunt:

Schimbarea serverului de nume DNS din registratorul de domeniu

Dacă registratorul dvs. de domeniu nu se află pe lista furnizorilor de DNS care se integrează ușor cu Let's Encrypt, puteți utiliza CloudFlare sau alți furnizori de servicii DNS terți. Tot ce trebuie să faceți este să schimbați serverul de nume DNS al domeniului dvs. din tabloul de bord al registratorului de domeniu în serverul de nume DNS al furnizorului de servicii DNS terț pe care doriți să-l utilizați.

V-am arătat procesul de schimbare a serverului de nume DNS (în serverul DNS al CloudFlare) pentru unul dintre domeniile noastre din tabloul de bord/site-ul web al registratorului nostru de domenii (unde am înregistrat numele nostru de domeniu) în următoarea captură de ecran. Procesul ar trebui să fie similar pentru registratorul de domenii. Pentru mai multe informații, citiți documentația registratorului de domenii sau contactați-i.

Avantajele validării Let’s Encrypt DNS-01

Avantajele validării DNS-01 de la Let’s Encrypt sunt:

  • Nu necesită o adresă IP publică/accesabilă la internet sau un server web.
  • Îl puteți folosi pentru a emite certificate SSL pentru nume de domenii wildcard (adică *.nodekite.com, *.linuxhint.com).
  • Funcționează bine pentru mai multe servere web.

Dezavantajele validării Let’s Encrypt DNS-01

Deși există multe avantaje ale validării Let’s Encrypt DNS-01, există și câteva dezavantaje:

  • Pentru ca validarea DNS-01 să funcționeze, trebuie să păstrați cheia/tokenul API al furnizorului dvs. de servicii DNS pe server, pe care un client Let’s Encrypt îl va folosi pentru a crea o înregistrare TXT pe serverul DNS pentru validarea DNS-01. Deoarece cheia/jetonul API este păstrat pe server, dacă serverul este piratat, există șansa ca cheia/jetonul API să fie compromis.
  • După ce clientul Let’s Encrypt adaugă o înregistrare TXT pe serverul DNS, este nevoie de ceva timp pentru a propaga modificările către alte servere de nume DNS din întreaga lume. Clientul Let’s Encrypt trebuie să aștepte ca modificările să se propagă la serverele de nume DNS comune din întreaga lume pentru a verifica dreptul de proprietate asupra domeniului. Dacă furnizorul dvs. de servicii DNS nu furnizează timpul de propagare DNS în API, clientul Let’s Encrypt nu va ști cât timp să aștepte ca modificările DNS să se propagă la alte servere de nume din întreaga lume. În acest caz, validarea DNS poate expira, iar Let’s Encrypt ar putea să nu elibereze un certificat SSL.

Concluzie

În acest articol, am discutat despre provocarea Let’s Encrypt DNS-01 și de ce să o folosim peste provocarea implicită HTTP-01 pentru a verifica dreptul de proprietate asupra unui nume de domeniu. De asemenea, am discutat despre cerințele pentru a trece provocarea Let’s Encrypt DNS-01 pentru a obține un certificat SSL Let’s Encrypt. Am enumerat furnizorii de servicii DNS care se integrează bine cu Let’s Encrypt, precum și cu clienții Let’s Encrypt ACME pe care îi puteți folosi pentru a efectua validarea DNS de pe computer/server. În cele din urmă, am discutat despre avantajele și dezavantajele validării DNS Let’s Encrypt.

Referinte:

Alte

Categorie

Posturi Populare

Cum să emulați super cuvântul cheie în C++

Cum se instalează Flask pe Linux Mint 21

Cum se copiază, se compară și se concatenează un buffer în Node.js?

Cum să schimbi modul de joc în Minecraft

Cum să găsiți ce versiune de Git rulați

Cum să desenezi pe un document Word?

Inserarea variabilei în șir folosind JavaScript

Cum să vă securizați contul de utilizator Windows

Comanda AutoSSH în Linux

Activați Deschiderea automată a sesiunii în Windows

Kubectl Listă imagini

Cum se remediază – comanda zsh nu a fost găsită eroarea mysql pe Mac

Cum se reglează claritatea unei imagini în PyTorch?

Ce este Apt în Linux

Cum se schimbă ramura de bază a unei cereri de tragere?

Verificați dacă Body are o anumită clasă folosind JavaScript

Care este semnificația lui „$” Conectați-vă cu JavaScript

Ce este un script PHP - Cum funcționează?

Cum se utilizează analizatorul de ieșire structurat în LangChain?

Cum să copiați o matrice în Java