SRV 레코드를 사용하여 클라이언트를 연결하는 서비스를 example.com에서 실행한다고 가정해 보겠습니다. 제 경우에는 xmpp이지만 이것이 실제로 모든 것에 적용된다고 생각합니다. 서비스에는 클라이언트가 자신을 식별할 수 있는 인증서가 필요하며, certbot/letsencrypt를 사용하여 인증서를 얻고 싶습니다. 그러나 example.com의 A 레코드는 다른 서버의 웹 호스트를 가리킵니다.
A 레코드가 아닌 SRV 레코드를 사용하여 "콜백"을 허용하도록 요청할 수 있는 방법이 있습니까? 그렇지 않은 경우 실제로 인증서를 요청하는 호스트로 콜백을 프록시하도록 A 레코드에서 웹 호스트를 구성할 수 있도록 콜백 URL 패턴을 제어할 수 있는 방법이 있습니까?
나는 대체 확인으로 DNS 문제를 알고 있지만 이 질문의 목적에 따라 서비스 호스트에 DNS 공급자에 대한 자격 증명을 유지하고 싶지 않다고 가정합니다.
답변1
나는 LE가 당신을 원한다고 확신합니다. 인증서(certbot certonly ...)를 가져오고 이를 XMPP 서버에 복사하도록 웹 호스트를 구성할 수 있습니다. 마찬가지로 DNS-01 챌린지는 호스트 자체에서 실행될 필요가 없습니다. 다음과 같은 도구를 사용할 수 있습니다.탈수된어떤 시스템에서든 인증서를 얻은 다음 필요한 곳으로 밀어넣을 수 있습니다. 그런 다음 XMPP 서버에 DNS 서비스 자격 증명을 저장할 필요가 없습니다. 이것이 이후에 Puppet을 사용하여 배포할 여러 인증서에 대해 수행하는 작업입니다.
답변2
Let's Encrypt는 확인 과정에서 SRV 레코드를 확인하지 않습니다.
대신 TXT 레코드를 설정해야 합니다. 자세한 내용은 다음을 참조하세요.