Suponha que eu execute um serviço em example.com que depende de um registro SRV para direcionar os clientes para ele (no meu caso é xmpp, mas acho que isso se aplica a qualquer coisa, na verdade). O serviço precisa de um certificado para se identificar aos clientes e quero usar certbot/letsencrypt para obter um. No entanto, o registro A de example.com aponta para um host da Web em um servidor diferente.
Existe alguma maneira de solicitar que o letsencrypt "me ligue de volta" usando o registro SRV em vez do registro A? Caso contrário, existe uma maneira de controlar seu padrão de URL de retorno de chamada, de modo que eu possa configurar o host da Web no registro A para fazer proxy do retorno de chamada para o host que está realmente solicitando o certificado?
Estou ciente dos desafios do DNS como verificação alternativa, mas, para fins desta pergunta, suponha que não desejo manter as credenciais do meu provedor de DNS no host do serviço.
Responder1
Tenho quase certeza de que LE quer que você queira. Você pode configurar seu host para obter apenas os certificados (certbot certonly ...) e depois copiá-los para o seu servidor XMPP. Da mesma forma, o desafio DNS-01 não precisa ser executado no próprio host. Você pode usar uma ferramenta comodesidratadopara obter os certificados em qualquer sistema e, em seguida, enviá-los para onde for necessário. Você não precisa armazenar suas credenciais de serviço DNS no servidor XMPP. Isso é o que faço para vários certificados que posteriormente uso o Puppet para implantar.
Responder2
Let's Encrypt não verifica nenhum registro SRV no processo de verificação.
Em vez disso, você deve configurar um registro TXT. Mais informações em: