example.com で、クライアントを誘導するために SRV レコードに依存するサービス (私の場合は xmpp ですが、これは実際には何にでも当てはまると思います) を実行しているとします。このサービスには、クライアントに対して自身を識別するための証明書が必要であり、certbot/letsencrypt を使用して証明書を取得したいと考えています。ただし、example.com の A レコードは、別のサーバー上の Web ホストを指しています。
A レコードではなく SRV レコードを使用して、letsencrypt に「コールバック」を要求する方法はありますか? そうでない場合、コールバック URL パターンを制御して、実際に証明書を要求しているホストにコールバックをプロキシするように A レコードの Web ホストを構成する方法はありますか?
私は代替検証として DNS チャレンジがあることを認識していますが、この質問の目的上、サービス ホストに DNS プロバイダーの資格情報を保持したくないと仮定します。
答え1
LEはあなたが望むことを確実に実現します。Webホストを設定して証明書(certbot certonly ...)を取得し、それをXMPPサーバーにコピーすることができます。同様に、DNS-01チャレンジをホスト自体で実行する必要はありません。次のようなツールを使用できます。脱水症状任意のシステムで証明書を取得し、必要な場所にプッシュします。その後、DNS サービスの認証情報を XMPP サーバーに保存する必要はありません。これは、その後 Puppet を使用して展開する多数の証明書に対して私が行っていることです。
答え2
Let's Encrypt は検証プロセスで SRV レコードをチェックしません。
代わりに TXT レコードを設定する必要があります。詳細については、以下を参照してください。