Finalmente instalei o certbot-auto na instância AWS EC2 Linux que estava me causando problemas e estou tentando obter um certificado curinga do Let's Encrypt.
Disseram-me para colocar um registro TXT com o nome (alterado para proteger os inocentes) _acme-challenge.foo.bar.net, com um determinado valor.
Então vou para a página do console do Route 53 e seleciono a zona hospedada bar.net. Eu adiciono o registro _acme-challenge.foo.bar.net, com o valor especificado, clico em “Salvar conjunto de registros” e espero alguns minutos. Então eu o seleciono e clico em “Test Record Set” e o Route 53 pensa que foi publicado.
Mas quando eu digo ao certbot-auto para prosseguir e o Let's Encrypt procura o registro, ele não está lá. E se eu fizer um nslookup -q=txt _acme-challenge.foo.bar.net, recebo
o servidor não consegue encontrar _acme-challenge.foo.bar.net
e para nslookup -q=txt foo.bar.net, recebo
servidor não consegue encontrar foo.bar.net
E ainda assim, se eu fizer um nslookup regular em foo.bar.net, eu encontro.
O que está errado?
Responder1
Eu encontrei a origem do problema.
Ao verificar os servidores listados no registro NS, percebi que o nome no registro TXT não estava (os nomes ainda foram alterados para proteger os inocentes)
_acme-challenge.foo.bar.net
mas
_acme-challenge.foo.bar.net.bar.net
Não percebi que o editor do conjunto de registros do Console do Route 53 coloca o nome de domínio da zona hospedada à direita do campo para inserir o nome do conjunto de registros e, em seguida, anexa-o ao que você insere. Então, eu estava inserindo o nome completo do registro e, assim, colocando o ".bar.net" lá duas vezes, uma vez explicitamente e uma vez implicitamente.
Para cunhar uma frase proferida pela primeira vez por um certo engenheiro fictício chamado Montgomery Scott,
Quanto mais você pensa demais no encanamento, mais fácil será tapar o ralo.