Cuando ejecuto certbot review, aparece el siguiente error.
Se debe proporcionar un script de autenticación con --manual-auth-hook cuando se utiliza el complemento manual de forma no interactiva.
De acuerdo con ladocumentos, para renovar automáticamente los certificados comodín, necesitamos usar un complemento de DNS.
Mi pregunta es ¿por qué? ¿Por qué certbot no puede reutilizar los registros de texto creados durante la configuración inicial? ¿No sería esto suficiente para validar la propiedad?
Intentando comprender cómo funcionan los certificados comodín.
Respuesta1
La política de validación depende del emisor del certificado (LE), no de Certbot.
Con Let's Encrypt, la validación del dominio no es permanente: si han transcurrido más de 30 días, la propiedad del dominio debe revalidarse incluso si renueva el mismo certificado con la misma cuenta.
Cada nuevo proceso de validación utilizará un nuevo desafío, específicamente paraevitarque los mismos registros DNS se reutilicen para siempre: el objetivo de la validación del dominio es demostrar que todavía estás bajo su control en este momento.
Ver este tema para más información:https://community.letsencrypt.org/t/will-renewal-always-require-new-dns-acme-challenge-txt/102820/2
Respuesta2
Si observamos cómo funciona esto en la práctica, ofrecer un nuevo desafío con cada emisión (ya sea una renovación o no) es la política de Let's Encrypt para garantizar que el consentimiento del propietario del dominio sea realmenteactual.
Si bien Let's Encrypt solo puede ofrecer certificados validados por dominio, su visión de la validación de dominio parece más sólida en algunas áreas que muchas de las CA tradicionales (que venden certificados validados por dominio).
Creo que esto es probablemente el resultado de una combinación de ideales (de todos modos, LE no gana dinero vendiendo más certificados, así que supongo que pueden darse el lujo de tener ideales), pero también es una cuestión de demostrar que se toman realmente en serio la validación para poder En primer lugar, ser aceptado y luego permanecer también en las tiendas raíz confiables de los principales proveedores de sistemas operativos/navegadores.
Dicho esto, toda la base de Let's Encrypt (y la emisión de certificados basados en ACME en general) esautomatización. Si se utiliza según lo previsto, no existe una diferencia real entre la emisión inicial y la renovación.
La idea es que si usa certbot, por ejemplo, especifique el complemento DNS relevante para usted y la configuración del complemento según sea necesario cuando solicite por primera vez un nuevo certificado. certbotalmacena todos los parámetros del certificado emitido y luego puede renovarlo automáticamente tantas veces como desee sin ningún trabajo manual adicional.
Con respecto a los complementos de DNS específicamente, tienen el complemento rfc2136 (actualizaciones dinámicas de DNS estándar) que cubre los servidores DNS típicos que usted mismo ejecutaría (por ejemplo, BIND, PowerDNS, Knot, etc.), así como complementos para las API de muchos de los principales servicios de DNS. proveedores.
Si alguno de estos es lo que usa, debería ser sencillo.