Как сгенерировать ssl сертификат let's encrypt через certbot и dns txt запись?

Question

[Reiters]

Есть сайт, размещённый на платформе, которая не предоставляет доступа по ssh и сама не подключает сертификат let's encrypt, но предоставляет доступ к dns записям и может установить сертификат, если предоставить им его уже готовым

Собственно вопрос, как выпустить сертфикат с помощью certbot через dns txt? Не могу понять по мануалу на их сайте

Comments

[Reiters]

Dr. Bacon, как я понял, то можно обойтись тем, что дать cetrbot'у нужный домен и токен в днс записи

Answer 1

[Евгений]

на всякий случай отмечу
1. сертификат придется перевыпускать каждые 3 месяца (или с меньшим интервалом чтобы не допустить истечения срока действия сертификата. А значит и с таким же интервалом придется оставлять заявку на установку нового сертификата на платформе
2. платформа не предоставляет вам такой возможности, а значит, приватный ключ сертификата вам придется передавать через интернет? Это уже отметает смысл использования сертификата. Насколько я знаю, нет лёгкого способа сгенерить LE серификат только с помощью CSR нет.

По основному вопросу: не вижу что тут непонятного:
Alexey Dmitriev уже написал:
1. скрипт скажет какие записи надо создать в вашей доменной зоне. Если вы ей не владеете(она принадлежит платформе) - вам подходит только http подтверждение.

Answer 2

[Alexey Dmitriev]

Запускаете скрипт в любом месте.
Когда он попросит создать DNS записи (их две, сначала будет одна потом вторая) - не прерывая работы скрипта - создаете первую запись (лучше если хост, где запущен скрипт - будет смотреть на авторитативные для вашей DNS зоны серверы - для ускорения применения записи).
Затем нажимаете на продолжить-первая запись проверяется и создаете вторую.
Переносите сертификат туда, где он нужен.

Answer 3

[Sanes]

https://www.sslforfree.com/

Answer 4

[Виктор Таран]

1. при генерации сертификата создается файл проверки который размещается на сервере, соответственно у вас должны совпасть условия.
А) IP адрес в днс записи должен совпасть IP сайта
Б) демон кладет файл и проверяет его наличие.
В) нет AAA записи ( LE не поддерживает ipv6)
Г) сертификат пытался выпуститься не больше 5 раз за день

Как вы представляете себе первые два пункта ?
Что же касается автоматизации именно для полной автоматизации сертификаты выдаются на 90 дней, и в перспективе будет 30 дабы все были обязаны настроить именно автоматические получения сертификатов, причина таких сроков именно в этом.

Другой вопрос что за хостинг сейчас не поддерживает LE
как правило если этого модуля нет его доставляют по запросу в тех поддержку.
Какой хостер у вас и какой тариф ?