Finalmente instalé certbot-auto en la instancia AWS EC2 de Linux que me estaba dando problemas y estoy intentando obtener un certificado comodín de Let's Encrypt.
Me dijeron que pusiera un registro TXT con el nombre (cambiado para proteger a los inocentes) _acme-challenge.foo.bar.net, con un valor determinado.
Entonces voy a la página de la consola de Route 53 y selecciono la zona alojada en bar.net. Agrego el registro _acme-challenge.foo.bar.net, con el valor especificado, hago clic en "Guardar conjunto de registros" y espero unos minutos. Luego lo selecciono y hago clic en "Probar conjunto de registros" y Route 53 cree que está publicado.
Pero cuando le digo a certbot-auto que continúe y Let's Encrypt busca el registro, no está allí. Y si hago un nslookup -q=txt _acme-challenge.foo.bar.net, obtengo
El servidor no puede encontrar _acme-challenge.foo.bar.net
y para nslookup -q=txt foo.bar.net, obtengo
el servidor no puede encontrar foo.bar.net
Y, sin embargo, si hago una búsqueda regular en foo.bar.net, lo encuentro.
¿Qué está pasando mal?
Respuesta1
Encontré la fuente del problema.
Mientras verificaba los servidores enumerados en el registro NS, me di cuenta de que el nombre en el registro TXT no estaba (los nombres aún se cambiaron para proteger a los inocentes)
_acme-challenge.foo.bar.net
pero
_acme-challenge.foo.bar.net.bar.net
No me di cuenta de que el editor de conjuntos de registros de la consola Route 53 coloca el nombre de dominio de la zona alojada a la derecha del campo para ingresar el nombre del conjunto de registros y luego lo agrega a lo que ingresa. Así que estaba ingresando el nombre completo del registro y, por lo tanto, obtenía ".bar.net" allí dos veces, una vez explícitamente y otra implícitamente.
Para acuñar una frase pronunciada por primera vez por cierto ingeniero ficticio llamado Montgomery Scott,
Cuanto más pienses demasiado en la plomería, más fácil será tapar el desagüe.