を実行するとcertbot review、次のエラーが発生します。
手動プラグインを非対話型で使用する場合は、--manual-auth-hook を使用して認証スクリプトを提供する必要があります。
によるドキュメントワイルドカード証明書を自動更新するには、DNS プラグインを使用する必要があります。
私の質問はなぜですか? certbot はなぜ初期セットアップ中に作成された txt レコードを再利用できないのですか? 所有権を検証するにはこれで十分ではないでしょうか?
ワイルドカード証明書がどのように機能するかを理解しようとしています。
答え1
検証ポリシーは、Certbot ではなく、証明書発行者 (LE) によって異なります。
Let's Encrypt では、ドメインの検証は永続的ではありません。30 日以上経過すると、同じアカウントを使用して同じ証明書を更新する場合でも、ドメインの所有権を再検証する必要があります。
新しい検証プロセスごとに、具体的には、避ける同じ DNS レコードが永久に再利用されないようにします。ドメイン検証の目的は、現在もドメインの管理下にあることを証明することです。
詳細については、このスレッドを参照してください:https://community.letsencrypt.org/t/will-renewal-always-require-new-dns-acme-challenge-txt/102820/2
答え2
これが実際にどのように機能するかを見てみると、ドメイン所有者の同意が実際に満たされていることを確認するために、発行ごとに(更新かどうかに関係なく)新しいチャレンジを与えることがLet's Encryptのポリシーとなっています。現在。
Let's Encrypt はドメイン検証済みの証明書しか提供できませんが、ドメイン検証に対する彼らの取り組みは、多くの従来の CA (ドメイン検証済みの証明書を販売) よりもいくつかの点で堅牢であるように見えます。
これはおそらく、理想の組み合わせの結果だと思います (LE はとにかく証明書の販売で利益を上げていないので、理想を持つ余裕があると思います)。また、まず最初に承認され、次にすべての主要な OS/ブラウザー ベンダーの信頼できるルート ストアに残るために、検証に真剣に取り組んでいることを示すことも重要です。
とはいえ、Let's Encrypt(およびACMEベースの証明書発行全般)の基盤全体はオートメーション意図したとおりに使用すると、最初の発行と更新の間に実質的な違いはありません。
全体的な考え方は、たとえば を使用する場合certbot、新しい証明書を最初に要求するときに、関連する DNS プラグインとプラグイン構成を必要に応じて指定することです。 certbot発行された証明書のすべてのパラメーターが保存され、追加の手動作業なしで何度でも自動的に更新できます。
DNS プラグインに関して言えば、rfc2136 プラグイン (標準 DNS 動的更新) があり、これは自分で実行する一般的な DNS サーバー (BIND、PowerDNS、Knot など) と、多くの主要な DNS サービス プロバイダーの API 用のプラグインをカバーしています。
これらのいずれかを使用する場合は、簡単なはずです。