@hoindex

Как добавить TXT запись в DNS Яндекс 360 (Connect) для получения сертификата Let's Encrypt?

Всем доброго дня!
За 5 дней до истечения wildcard сертификата для сайта от Sectigo решил заказать новый и узнал что они теперь с РФ не работают также как Thawte.
Заказав wildcard от Global Sign, узнал что выпуск может затянуться на несколько дней, официально до 7 рабочих в реальности до 20.

Решил в качестве временного решения получить бесплатный Let's encrypt.
В панели isp manager сгенерил запрос на wildcard сертификат и начал получать сообщения типа

Для продолжения процедуры получения сертификата Let's Encypt domain.ru_le2022 добавьте TXT-записи: '_acme-challenge.domain.ru. TXT _PfR4FAMOuwkDO0uoTbDH8qz4llTI0x0FYvRqH385gk, _acme-challenge.domain.ru. TXT tPVoZIGYgXd9p1XHRO1LITNTkF6IqK52DmAmweS0qPs' на серверах имен 'dns1.yandex.net., dns2.yandex.net.'. Получение будет возобновлено после 2022-06-04 12:07:02


У нас DNS лежат в yandex connect (360), захожу в управление записями домена и добавляю 2 штуки - https://s.mail.ru/iAgb/eehtbmBeS
Сама форма на примере первой записи выглядит так - https://s.mail.ru/A1mH/Z74owGmtx

Проверяю через консоль dig'ом и через reg.ru - этих записей нет, даже спустя несколько часов - https://s.mail.ru/FhXQ/AdAS14KBb
Что я делаю не так?

UPDATE
Сидел жал кнопку проверки записей на reg.ru и в какой-то момент нужные записи появились и при нажатии Проверить пропали.
С тех пор жал пару десятков раз больше не появлялись...
Это какой-то заскок у яндекса?

UPDATE 2
Спасибо ответившим по поводу прямого запроса для проверки записи!
Вижу что записи добавились вроде как, НО, по ходу пьесы их приходится менять.
И вот какая интересная штука получается, dns сервер Яндекса за 5 секунд отдает разные запросы...
Т.е. команда dig dns1.yandex.net _acme-challenge.domain.ru txt +short сначала отдает пустой ответ (это правильно т.к. на данный момент записи удалены)
Через секунду отдает
"tPVoZIGYgXd9p1XHRO1LITNTkF6IqK52DmAmweS0qPs"
"_PfR4FAMOuwkDO0uoTbDH8qz4llTI0x0FYvRqH385gk"
Еще через секунду опять пустой ответ.
Через секунду
"LNl19gdPxYSBQKU9kDy42qBG0OesryXkOIejeqvBGuU"
"o4twtxWierQADkupjPuQp1GPQlcZ3QyO6riuvSMCXc4"

Естественно проверяльщик Let's encrypt видит левые записи и падает в 403 ошибку.
Как это вообще работает?!
  • Вопрос задан
  • 2970 просмотров
Пригласить эксперта
Ответы на вопрос 2
1. Бро ты в курсе что ты получаешь вайлдкард сертификат?
То есть и другие способы его получения.
Вайлдкард нужен для домена *.site.ru и именно когда их доталого.
Если у тебя 2-20 доменов то можно и выдать обычным способом.
2.
Блин это же очевидно удали лишние записи.
Ведь эта хрень требуется при каждом запуске, и почти всегда она разная.
так что ты должен запустить генератор, скопировать записи, вставить в днс
дождавшись их ты должен продолжить генерацию сертификата.
А потом уже это действие небудет требоваться.
То есть если ты закинул пол часа назад и закрыл в терминале сессию валидации, есть отличная от нуля вероятность что он потребует новый txt которого у тебя естественно нет.
Ответ написан
@NisSunPro
По всей видимости у Яндекса множество серверов в облаке и по какой-то причине не происходит transfer при внесении изменений в зону, а происходит синхронизация с огромной задержкой (до нескольких часов и более).
В связи с чем длительное время на запросы выдаются разные ответы и чаще неактуальные.

Как я поступал:
  1. запускал certbot
  2. вносил изменения в доменную зону
  3. несколько раз дёргал утилиту dig
  4. выжидал 3+ часа
  5. снова дёргал dig
  6. возвращался к certbot и подтверждал что внёс последнее изменение в зону
  7. если были верифицированы не все записи, возвращался к п. 1.

(НО я получал сертификат вручную, что может не сработать через ПУ хостингом, т.к. некоторые хостинговые площадки уже через час останавливают процесс получения сертификата.)

Спустя какое-то время меня всё это достало и я распрощался с котом Шрёдингера, подняв собственный DNS.
И другим советую избегать DNS от Яндекса при получении Let's Encrypt.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы