@Reiters

Как сгенерировать ssl сертификат let's encrypt через certbot и dns txt запись?

Есть сайт, размещённый на платформе, которая не предоставляет доступа по ssh и сама не подключает сертификат let's encrypt, но предоставляет доступ к dns записям и может установить сертификат, если предоставить им его уже готовым

Собственно вопрос, как выпустить сертфикат с помощью certbot через dns txt? Не могу понять по мануалу на их сайте
  • Вопрос задан
  • 88 просмотров
Пригласить эксперта
Ответы на вопрос 4
@yellowmew
Cloud infrastructure, monitoring engineer. SRE
на всякий случай отмечу
1. сертификат придется перевыпускать каждые 3 месяца (или с меньшим интервалом чтобы не допустить истечения срока действия сертификата. А значит и с таким же интервалом придется оставлять заявку на установку нового сертификата на платформе
2. платформа не предоставляет вам такой возможности, а значит, приватный ключ сертификата вам придется передавать через интернет? Это уже отметает смысл использования сертификата. Насколько я знаю, нет лёгкого способа сгенерить LE серификат только с помощью CSR нет.

По основному вопросу: не вижу что тут непонятного:
Alexey Dmitriev уже написал:
1. скрипт скажет какие записи надо создать в вашей доменной зоне. Если вы ей не владеете(она принадлежит платформе) - вам подходит только http подтверждение.
Ответ написан
SignFinder
@SignFinder
Wintel\Unix Engineer
Запускаете скрипт в любом месте.
Когда он попросит создать DNS записи (их две, сначала будет одна потом вторая) - не прерывая работы скрипта - создаете первую запись (лучше если хост, где запущен скрипт - будет смотреть на авторитативные для вашей DNS зоны серверы - для ускорения применения записи).
Затем нажимаете на продолжить-первая запись проверяется и создаете вторую.
Переносите сертификат туда, где он нужен.
Ответ написан
1. при генерации сертификата создается файл проверки который размещается на сервере, соответственно у вас должны совпасть условия.
А) IP адрес в днс записи должен совпасть IP сайта
Б) демон кладет файл и проверяет его наличие.
В) нет AAA записи ( LE не поддерживает ipv6)
Г) сертификат пытался выпуститься не больше 5 раз за день

Как вы представляете себе первые два пункта ?
Что же касается автоматизации именно для полной автоматизации сертификаты выдаются на 90 дней, и в перспективе будет 30 дабы все были обязаны настроить именно автоматические получения сертификатов, причина таких сроков именно в этом.

Другой вопрос что за хостинг сейчас не поддерживает LE
как правило если этого модуля нет его доставляют по запросу в тех поддержку.
Какой хостер у вас и какой тариф ?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы