Angenommen, ich betreibe einen Dienst auf example.com, der auf einen SRV-Eintrag angewiesen ist, um Clients dorthin zu leiten (in meinem Fall ist es xmpp, aber ich denke, das gilt eigentlich für alles). Der Dienst benötigt ein Zertifikat, um sich gegenüber Clients zu identifizieren, und ich möchte certbot/letsencrypt verwenden, um eines zu erhalten. Der A-Eintrag von example.com verweist jedoch auf einen Webhost auf einem anderen Server.
Gibt es eine Möglichkeit, anzufordern, dass letsencrypt mich mithilfe des SRV-Eintrags und nicht des A-Eintrags „zurückruft“? Wenn nicht, gibt es eine Möglichkeit, das Rückruf-URL-Muster zu steuern, sodass ich den Webhost im A-Eintrag so konfigurieren kann, dass der Rückruf an den Host weitergeleitet wird, der das Zertifikat tatsächlich anfordert?
Ich bin mir der Möglichkeit bewusst, dass DNS-Challenges als alternative Überprüfung genutzt werden können. Für die Zwecke dieser Frage gehe ich jedoch davon aus, dass ich die Anmeldeinformationen für meinen DNS-Anbieter nicht auf dem Service-Host speichern möchte.
Antwort1
Ich bin ziemlich sicher, dass LE das tut, was Sie wollen. Sie können Ihren Webhost so konfigurieren, dass er nur die Zertifikate abruft (certbot certonly ...) und sie dann auf Ihren XMPP-Server kopiert. Ebenso muss die DNS-01-Challenge nicht auf dem Host selbst ausgeführt werden. Sie können ein Tool wiedehydriertum die Zertifikate auf jedem System abzurufen und sie dann dorthin zu übertragen, wo sie benötigt werden. Sie müssen Ihre DNS-Dienstanmeldeinformationen dann nicht auf dem XMPP-Server speichern. Dies mache ich für eine Reihe von Zertifikaten, die ich anschließend mit Puppet verteile.
Antwort2
Let’s Encrypt überprüft im Verifizierungsprozess keinen SRV-Eintrag.
Sie sollten stattdessen einen TXT-Eintrag einrichten, weitere Informationen unter:
Wie verwende ich die DNS-Challenge-Validierung von Let’s Encrypt?