Beim Ausführen certbot reviewwird die folgende Fehlermeldung angezeigt.
Bei nicht-interaktiver Verwendung des manuellen Plugins muss mit --manual-auth-hook ein Authentifizierungsskript bereitgestellt werden.
Entsprechend derDokumente, um Wildcard-Zertifikate automatisch zu erneuern, müssen wir ein DNS-Plugin verwenden.
Meine Frage ist, warum. Warum kann Certbot die bei der Ersteinrichtung erstellten TXT-Einträge nicht wiederverwenden? Wäre das nicht ausreichend, um den Besitz zu bestätigen?
Versuche zu verstehen, wie Wildcard-Zertifikate funktionieren.
Antwort1
Die Validierungsrichtlinie hängt vom Zertifikatsaussteller (LE) ab, nicht von Certbot.
Bei Let‘s Encrypt ist die Domänenvalidierung nicht dauerhaft. Wenn mehr als 30 Tage vergangen sind, muss der Besitz der Domäne erneut validiert werden, selbst wenn Sie dasselbe Zertifikat mit demselben Konto erneuern.
Jeder neue Validierungsprozess wird eine neue Herausforderung darstellen, insbesonderevermeidenverhindern, dass dieselben DNS-Einträge für immer wiederverwendet werden. Der Sinn der Domänenvalidierung besteht darin, zu beweisen, dass Sie sich auch jetzt noch unter der Kontrolle dieser Domain befinden.
Weitere Informationen finden Sie in diesem Thread:https://community.letsencrypt.org/t/will-renewal-always-require-new-dns-acme-challenge-txt/102820/2
Antwort2
Wenn man sich nur ansieht, wie das in der Praxis funktioniert, ist es die Politik von Let's Encrypt, bei jeder Ausgabe (egal ob es sich um eine Verlängerung handelt oder nicht) eine neue Herausforderung zu geben, um sicherzustellen, dass die Zustimmung des Domäneninhabers tatsächlichaktuell.
Obwohl Let's Encrypt nur domänenvalidierte Zertifikate anbieten kann, scheint ihr Ansatz zur Domänenvalidierung in einigen Bereichen robuster zu sein als der vieler traditioneller Zertifizierungsstellen (die domänenvalidierte Zertifikate verkaufen).
Ich denke, dies ist wahrscheinlich das Ergebnis einer Kombination von Idealen (LE verdient ohnehin kein Geld mit dem Verkauf weiterer Zertifikate, daher können sie sich Ideale vermutlich leisten), aber auch eine Frage des Zeigens, dass sie es mit der Validierung wirklich ernst meinen, um zunächst einmal akzeptiert zu werden und dann auch in den vertrauenswürdigen Root-Stores aller großen Betriebssystem-/Browser-Anbieter zu bleiben.
Das heißt, die gesamte Grundlage von Let's Encrypt (und der ACME-basierten Zertifikatsausstellung im Allgemeinen) istAutomatisierung. Bei bestimmungsgemäßer Verwendung gibt es keinen wirklichen Unterschied zwischen der Erstausstellung und der Erneuerung.
Die ganze Idee ist, dass Sie, wenn Sie zB verwenden certbot, das für Sie relevante DNS-Plugin und die Plugin-Konfiguration bei Bedarf bereits bei der ersten Anforderung eines neuen Zertifikats angeben. certbotspeichert alle Parameter für das ausgestellte Zertifikat und Sie können es dann automatisch beliebig oft erneuern, ohne dass zusätzliche manuelle Arbeit erforderlich ist.
Was die DNS-Plugins im Speziellen betrifft, gibt es das Plugin rfc2136 (Standard-DNS-Dynamikupdates), das typische DNS-Server abdeckt, die Sie selbst betreiben würden (z. B. BIND, PowerDNS, Knot usw.), sowie Plugins für die APIs vieler der großen DNS-Dienstanbieter.
Wenn Sie eines davon verwenden, sollte es unkompliziert sein.