Hãy mã hóa xác thực certbot qua HTTPS

Từ các tài liệu của plugin webbotot Certbot

Plugin webroot hoạt động bằng cách tạo một tệp tạm thời cho mỗi tên miền bạn yêu cầu ${webroot-path}/.well-known/acme-challenge. Sau đó, máy chủ xác thực Let Encrypt thực hiện các yêu cầu HTTP để xác thực rằng DNS cho mỗi miền được yêu cầu phân giải đến máy chủ đang chạy certbot.

Trên một máy chủ gia đình được sử dụng riêng, tôi đã tắt cổng 80, nghĩa là không có chức năng chuyển tiếp cổng nào được bật trong bộ định tuyến. Tôi không có ý định mở cổng đó.

Làm cách nào tôi có thể nói với certbot rằng máy chủ xác thực không nên thực hiện yêu cầu HTTP, mà là yêu cầu HTTPS (cổng 443), để xác thực quyền sở hữu của tên miền?

Máy chủ xác nhận thậm chí không cần phải xác thực chứng chỉ của máy chủ gia đình, vì nó đã sử dụng HTTP theo mặc định. Tôi có thể có một chứng chỉ tự ký hoặc chứng chỉ được gia hạn, nhưng điều đó không thành vấn đề.

Hiện tại tôi đang ở trong tình huống cần kích hoạt chuyển tiếp cổng 80 cũng như máy chủ trên đó để tạo / gia hạn chứng chỉ. Điều này không cho phép tôi sử dụng một cronjob để gia hạn chứng chỉ. Vâng, với đủ công việc sẽ làm, nhưng tôi đã có một máy chủ nghe trên 443, có thể thực hiện công việc tốt.

Theo báo cáo trong https://community.letsencrypt.org/t/shouldnt-verification-via-dns-record-be-a-priority/604/47 các letsencrypt.sh updater xác nhận hỗ trợ qua DNS. Rất ít kịch bản cập nhật dường như đã thực hiện điều này. Tuy nhiên, phương thức HTTP là cách đơn giản nhất để thực hiện cho cấu hình ban đầu.

Tập lệnh bạn có có thể sử dụng TNS SNI hoặc Bằng chứng sở hữu khóa trước để gia hạn. Thông số kỹ thuật có thể được tìm thấy tại https://tools.ietf.org/html/draft-ietf-acme-acme-01#section-7.5 . Nếu đây là trường hợp bạn sẽ không cần bật HTTP.