Мне наконец удалось установить certbot-auto на экземпляре AWS EC2 Linux, который доставлял мне проблемы, и я пытаюсь получить подстановочный сертификат от Let's Encrypt.
Мне сказали создать TXT-запись под именем (измененным для защиты невиновных) _acme-challenge.foo.bar.net с заданным значением.
Итак, я перехожу на страницу консоли Route 53 и выбираю зону bar.net hosted. Я добавляю запись _acme-challenge.foo.bar.net с указанным значением, нажимаю «Сохранить набор записей» и жду несколько минут. Затем я выбираю ее и нажимаю «Проверить набор записей», и Route 53 думает, что она опубликована.
Но когда я говорю certbot-auto продолжать, и Let's Encrypt ищет запись, ее там нет. И если я делаю nslookup -q=txt _acme-challenge.foo.bar.net, я получаю
сервер не может найти _acme-challenge.foo.bar.net
и для nslookup -q=txt foo.bar.net я получаю
сервер не может найти foo.bar.net
И все же, если я сделаю обычный nslookup на foo.bar.net, я его найду.
Что не так?
решение1
Я нашел источник проблемы.
При перепроверке серверов, указанных в записи NS, я случайно заметил, что имя в записи TXT не было (имена все равно изменены, чтобы защитить невиновных)
_acme-challenge.foo.bar.net
но
_acme-challenge.foo.bar.net.bar.net
Я не заметил, что редактор набора записей Route 53 Console помещает доменное имя размещенной зоны справа от поля для ввода имени набора записей, а затем добавляет его к тому, что вы вводите. Поэтому я вводил полное имя записи и таким образом получал ".bar.net" там дважды, один раз явно и один раз неявно.
Если использовать фразу, впервые произнесенную неким вымышленным инженером по имени Монтгомери Скотт,
Чем больше вы продумаете сантехнику, тем легче будет засорить слив.