Preciso de um certificado TLS para Exim e não de um site. Para pessoas que não usam servidor web, Let's Encrypt fornece certificados por meio do chamado desafio DNS-01. Na verdade, é simples: um script de gancho atualiza dinamicamente a zona do BIND com um desafio TXT RR que é então usado pelo Let's Encrypt para verificar a solicitação de certificado.
Tudo funciona até uma atualização de DDNS no BIND. Eu tenho a seguinte configuração de zona:
zone "example.com" IN {
type master;
notify yes;
allow-query { "any"; };
file "/etc/bind/example.com.zone";
update-policy {
grant ddns-key zonesub ANY;
};
};
Em seguida, uso dehydratedo cliente para emitir solicitação de certificado, obter a assinatura do certificado etc. dehydratedusa um script de gancho que adiciona dinamicamente o registro TXT com um desafio para um domínio:
% dehydrated -c --domain example.com -t dns-01 -k /myhook.sh
# INFO: Using main config file /etc/dehydrated/config
Processing example.com
+ Signing domains...
+ Generating private key...
+ Generating signing request...
+ Requesting new certificate order from CA...
+ Received 1 authorizations URLs from the CA
+ Handling authorization for example.com
+ 1 pending challenge(s)
+ Deploying challenge tokens...
+ Responding to challenge for example.com authorization...
+ Cleaning challenge tokens...
+ Challenge validation has failed :(
ERROR: Challenge is invalid! (returned: invalid) (result: {
"type": "dns-01",
"status": "invalid",
"error": {
"type": "urn:ietf:params:acme:error:dns",
"detail": "DNS problem: NXDOMAIN looking up TXT for _acme-challenge.example.com - check that a DNS record exists for this domain",
"status": 400
},
"url": "https://acme-v02.api.letsencrypt.org/acme/chall-v3/9027433651/.....",
"token": "g_zU3NXkYwjt2LrRm3Yo33O22BFPLRvl......"
})
O script de gancho é baseado emhttps://github.com/dehydred-io/dehydred/wiki/example-dns-01-nsupdate-script.
Se eu verificar a existência do registro TXT (antes de dehydratedtentar excluí-lo), ele realmente não existe:
dig TXT _acme-challenge.example.com @inet.example.com
...NXDOMAIN
No log o BIND escreve uma única linha relacionada:
02-Dec-2020 20:21:56.089 update: info: client 10.5.1.181#49440/key ddns-key: updating zone 'example.com/IN': adding an RR at '_acme-challenge.example.com' TXT "GLuKNhJkt3MJ4refRS_nkL9BRBbqXSl4a3QytkGfY64"
É isso. Não há mais nada, embora eu tenha aumentado o nível de registro para depuração. O registro TXT não aparece, não tem mensagem de erro, nada.
Como posso consertar isso?
SO: Debian 9. Versão do BIND: 9.10.
% named -V
BIND 9.10.3-P4-Debian <id:ebd72b3>
built by make with '--prefix=/usr' '--mandir=/usr/share/man' '--libdir=/usr/lib/x86_64-linux-gnu' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--with-python=python3' '--localstatedir=/' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-gost=no' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-geoip=/usr' '--with-atf=no' '--enable-ipv6' '--enable-rrl' '--enable-filter-aaaa' '--enable-native-pkcs11' '--with-pkcs11=/usr/lib/x86_64-linux-gnu/softhsm/libsofthsm2.so' '--with-randomdev=/dev/urandom' 'CFLAGS=-g -O2 -fdebug-prefix-map=/build/bind9-3gVwXu/bind9-9.10.3.dfsg.P4=. -fstack-protector-strong -Wformat -Werror=format-security -fno-strict-aliasing -fno-delete-null-pointer-checks -DNO_VERSION_DATE -DDIG_SIGCHASE' 'LDFLAGS=-Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-Wdate-time -D_FORTIFY_SOURCE=2'
compiled by GCC 6.3.0 20170516
compiled with OpenSSL version: OpenSSL 1.0.2u 20 Dec 2019
linked to OpenSSL version: OpenSSL 1.0.2u 20 Dec 2019
compiled with libxml2 version: 2.9.4
linked to libxml2 version: 20904
ATUALIZAR
Eu encontrei algo, isso parece estar relacionado ao IP/interface que o BIND está ouvindo. Quando estou usando um servidor de nomes visível externamente example.com, recebo recusa com os seguintes nsupdatecomandos:
% nsupdate -k /etc/exim4/ddns.key < /tmp/s
; TSIG error with server: tsig indicates error
update failed: NOTAUTH(BADKEY)
% cat /tmp/s
server inet.example.com
add _acme-challenge.example.com 1010001 in TXT "abc"
send
No entanto, não recebo nenhum erro e o registro TXTfazseja inserido com os seguintes nsupdatecomandos:
server 10.0.0.1
add _acme-challenge.example.com 1010001 in TXT "abc"
send