을 실행하면 certbot review다음 오류가 발생합니다.
수동 플러그인을 비대화식으로 사용하는 경우 --manual-auth-hook와 함께 인증 스크립트를 제공해야 합니다.
에 따르면문서, 와일드카드 인증서를 자동 갱신하려면 DNS 플러그인을 사용해야 합니다.
내 질문은 왜? certbot이 초기 설정 중에 생성된 txt 레코드를 재사용할 수 없는 이유는 무엇입니까? 이 정도면 소유권을 검증하기에 충분하지 않나요?
와일드카드 인증서의 작동 방식을 이해하려고 합니다.
답변1
유효성 검사 정책은 Certbot이 아닌 인증서 발급자(LE)에 따라 다릅니다.
Let's Encrypt를 사용하면 도메인 검증이 영구적이지 않습니다. 30일이 넘었다면 동일한 계정을 사용하여 동일한 인증서를 갱신하더라도 도메인 소유권을 다시 검증해야 합니다.
각각의 새로운 검증 프로세스는 특히 다음을 위해 새로운 과제를 사용합니다.피하다동일한 DNS 레코드가 영원히 재사용되지 않습니다. 도메인 검증의 요점은 귀하가 지금 당장 통제하에 있음을 증명하는 것입니다.
자세한 내용은 이 스레드를 참조하세요.https://community.letsencrypt.org/t/will-renewal-always-require-new-dns-acme-challenge-txt/102820/2
답변2
이것이 실제로 어떻게 작동하는지 살펴보면, 각 발급(갱신 여부에 관계없이)마다 새로운 도전을 제공하는 것은 도메인 소유자의 동의가 실제로 이루어지도록 보장하는 Let's Encrypt의 정책입니다.현재의.
Let's Encrypt는 도메인 검증 인증서만 제공할 수 있지만 일부 영역에서는 도메인 검증 인증서를 판매하는 기존 CA보다 더 강력한 것으로 보입니다.
나는 이것이 아마도 이상의 조합의 결과라고 생각합니다(LE는 어차피 더 많은 인증서를 판매하여 돈을 벌지 않기 때문에 이상을 가질 여유가 있다고 생각합니다). 또한 그들이 검증에 대해 정말로 진지하다는 것을 보여주는 문제이기도 합니다. 우선 승인을 받은 다음 모든 주요 OS/브라우저 공급업체의 신뢰할 수 있는 루트 스토어에 머무르는 것입니다.
즉, Let's Encrypt(및 일반적으로 ACME 기반 인증서 발급)의 전체 기반은 다음과 같습니다.오토메이션. 의도한 대로 사용하면 최초 발급과 갱신 사이에 실질적인 차이가 없습니다.
전체 아이디어는 eg 를 사용하는 경우 certbot새 인증서를 처음 요청할 때 이미 필요에 따라 관련 DNS 플러그인과 플러그인 구성을 지정한다는 것입니다. certbot발급된 인증서에 대한 모든 매개변수를 저장한 다음 추가 수동 작업 없이 원하는 횟수만큼 자동으로 갱신할 수 있습니다.
특히 DNS 플러그인과 관련하여 사용자가 직접 실행하는 일반적인 DNS 서버(예: BIND, PowerDNS, Knot 등)를 포함하는 rfc2136 플러그인(표준 DNS 동적 업데이트)과 여러 주요 DNS 서비스의 API용 플러그인이 있습니다. 공급자.
이들 중 하나라도 사용하는 것이면 간단해야 합니다.