Ich leite derzeit eine Organisation und wir verwenden eine interne Website, die in unserem Netzwerk gehostet wird und eineGitea Serverdamit wir auf wichtige Dokumente zugreifen können, ohne auf einen Drittanbieterdienst angewiesen zu sein.
Ich habe bereits einen DNS-Server eingerichtet mitMaraDNSdas an die richtige IP-Adresse weiterleitet. Wir führen auch zusätzliche Anwendungen auf diesem Server aus (wie z. B. eine interne REST-API), verlassen uns aber derzeit auf selbstsignierte Zertifikate. Mir gefällt nicht, wie einige Browser und Bibliotheken wieLibCURLbehandelt diese Art von Zertifikaten, da ich die Behebung dieser Fehler langsam als mühsam und nervig empfinde.
Ich möchte ein Zertifikat für meinen Server erhalten, indem ichLass uns verschlüsselnService; da die Zertifizierungsstelle in Browsern gut erkannt wird und ich nicht jedes Mal eine Gebühr zahlen muss, wenn ich das Zertifikat erneuere.
Wie kann ich das erhalten?
Antwort1
Let’s Encrypt ist für öffentliche Dienste vorgesehen und unterstützt keine vollständig internen Namen, auf die über das globale Internet nicht zugegriffen werden kann.
Die erste Voraussetzung zum Erhalt eines LE-Zertifikats besteht darin, dass der/die Hostname(n), für den/die Sie ein Zertifikat wünschen, im globalen DNS vorhanden sein müssen oder erstellt werden können.
Sobald dies erfüllt ist, haben Sie zwei Möglichkeiten fürHerausforderungen: HTTP-01 und DNS-01.
HTTP-01 überprüft Ihre Kontrolle über den Hostnamen, indem es eine Verbindung zu einem HTTP-Server auf Port 80 unter diesem Namen über IPv6 oder IPv4 herstellt. Natürlich muss der Name über einen entsprechenden Adresseintrag im globalen DNS verfügen.
DNS-01 ermöglicht die Verifizierung eines Hostnamens durch die Einrichtung eines bestimmten TXT-Eintrags im globalen DNS. Normalerweise erfolgt dies automatisiert durch einenAPI von einem unterstützten DNS-Anbieter, kann aber auch manuell erfolgen, wenn Ihre globalen DNS-Einträge nicht von einem unterstützten Anbieter gehostet werden.
Möglicherweise können Sie diese Einschränkungen umgehen und ein Zertifikat erhalten. Dies hängt jedoch von vielen Details Ihrer Umgebung ab, die Sie nicht angegeben haben. Sie können darüber nachdenken und vielleicht finden Sie eine Möglichkeit, dies zu tun.