При запуске certbot reviewя получаю следующую ошибку.
При неинтерактивном использовании ручного плагина необходимо предоставить скрипт аутентификации с параметром --manual-auth-hook.
СогласнодокументыДля автоматического продления сертификатов Wildcard нам необходимо использовать плагин DNS.
У меня вопрос: почему? Почему certbot не может повторно использовать записи txt, созданные во время первоначальной настройки? Разве этого не достаточно для подтверждения права собственности?
Пытаюсь понять, как работают wildcard-сертификаты.
решение1
Политика проверки зависит от издателя сертификата (LE), а не от Certbot.
С Let's Encrypt проверка домена не является постоянной — если прошло более 30 дней, то право собственности на домен необходимо подтвердить повторно, даже если вы продлеваете тот же сертификат, используя ту же учетную запись.
Каждый новый процесс проверки будет использовать новую задачу, в частности,избегатьодни и те же записи DNS от повторного использования вечно — цель проверки домена — доказать, что вы все еще находитесь под его контролем прямо сейчас.
Смотрите эту ветку для получения дополнительной информации:https://community.letsencrypt.org/t/will-renewal-always-require-new-dns-acme-challenge-txt/102820/2
решение2
Если взглянуть на то, как это работает на практике, то предоставление нового запроса при каждой выдаче (независимо от того, продление или нет) является политикой Let's Encrypt, чтобы гарантировать, что согласие владельца домена действительно получено.текущий.
Хотя Let's Encrypt может предложить только сертификаты с проверкой домена, их подход к проверке домена в некоторых областях выглядит более надежным, чем у многих традиционных CA (которые продают сертификаты с проверкой домена).
Я думаю, что это, вероятно, результат сочетания идеалов (LE в любом случае не зарабатывает на продаже большего количества сертификатов, поэтому я полагаю, что они могут позволить себе иметь идеалы), но также и вопрос демонстрации того, что они действительно серьезно относятся к проверке, чтобы, прежде всего, быть принятыми, а затем также оставаться в доверенных корневых хранилищах всех основных поставщиков ОС/браузеров.
Тем не менее, вся основа Let's Encrypt (и выдачи сертификатов на основе ACME в целом) заключается в следующем:автоматизация. При использовании по назначению нет никакой реальной разницы между первоначальной выдачей и продлением.
Вся идея заключается в том, что если вы используете eg certbot, то вы указываете плагин DNS, относящийся к вам, и конфигурацию плагина по мере необходимости уже при первом запросе нового сертификата. certbotсохраняет все параметры для выданного сертификата, а затем вы можете автоматически продлевать его столько раз, сколько захотите, без какой-либо дополнительной ручной работы.
Что касается плагинов DNS, то у них есть плагин rfc2136 (стандартные динамические обновления DNS), который охватывает типичные DNS-серверы, которые вы бы запустили сами (например, BIND, PowerDNS, Knot и т. д.), а также плагины для API многих основных поставщиков услуг DNS.
Если вы используете что-то из этого, то все должно быть просто.