HTTPS üzerinden sertifika doğrulamasını şifreleyelim

Certbot webroot eklentisinin belgelerinden

Webroot eklentisi, istenen alan adlarının her biri için geçici bir dosya oluşturarak çalışır ${webroot-path}/.well-known/acme-challenge. Ardından, Şifreleyelim doğrulama sunucusu, istenen her etki alanı için DNS'nin certbot çalıştıran sunucuya çözümlendiğini doğrulamak için HTTP istekleri yapar .

Özel olarak kullanılan bir ev sunucusunda, 80 numaralı bağlantı noktasını devre dışı bıraktım, yani yönlendiricide bağlantı noktası yönlendirme etkin değil. O limanı açmak gibi bir niyetim yok.

Certbot'a, etki alanının sahipliğini doğrulamak için doğrulama sunucusunun bir HTTP isteği değil, bir HTTPS (bağlantı noktası 443) isteği yapması gerektiğini nasıl söyleyebilirim?

Doğrulama sunucusunun, varsayılan olarak zaten HTTP kullandığı için, ev sunucusunun sertifikasını doğrulama ihtiyacı bile olmamalıdır. Kendinden imzalı bir sertifikam veya yenilenmeye hazır olan bir sertifikam olabilir, ancak bu önemli olmamalı.

Şu anda sertifika oluşturmak / yenilemek için bağlantı noktası 80 iletme yanı sıra üzerinde bir sunucu etkinleştirmek gerekiyor durumda. Bu sertifikayı yenilemek için bir cronjob kullanmama izin vermiyor. Yeterince çalışacaktı, ama 443'te dinleyen bir sunucum var, bu da işi yapabilirdi.

De bildirildiği gibi https://community.letsencrypt.org/t/shouldnt-verification-via-dns-record-be-a-priority/604/47 letsencrypt.sh DNS üzerinden destekler doğrulama güncelleyici. Birkaç güncelleyici komut dosyası bunu uygulamıştır. Bununla birlikte, HTTP yöntemi ilk yapılandırma için uygulanması en basit yöntemdir.

Sahip olduğunuz komut dosyası, yenileme için TNS SNI veya Önceki Anahtarın Elde Edildiğine dair Kanıt kullanabilir. Spesifikasyon https://tools.ietf.org/html/draft-ietf-acme-acme-01#section-7.5 adresinde bulunabilir . Bu durumda, HTTP'yi etkinleştirmeniz gerekmez.