Мне нужен сертификат TLS для Exim, а не веб-сайт. Для тех, кто не использует веб-сервер, Let's Encrypt предоставляет сертификаты через так называемый DNS-01 challenge. Это действительно просто, скрипт-ловушка динамически обновляет зону BIND с помощью RR TXT challenge, который затем используется Let's Encrypt для проверки запроса на сертификат.
Все работает до обновления DDNS в BIND. У меня следующая конфигурация зоны:
zone "example.com" IN {
type master;
notify yes;
allow-query { "any"; };
file "/etc/bind/example.com.zone";
update-policy {
grant ddns-key zonesub ANY;
};
};
Затем я использую dehydratedклиент для отправки запроса на сертификат, получения подписи сертификата и т. д., dehydratedиспользуя скрипт-обработчик, который динамически добавляет запись TXT с вызовом для домена:
% dehydrated -c --domain example.com -t dns-01 -k /myhook.sh
# INFO: Using main config file /etc/dehydrated/config
Processing example.com
+ Signing domains...
+ Generating private key...
+ Generating signing request...
+ Requesting new certificate order from CA...
+ Received 1 authorizations URLs from the CA
+ Handling authorization for example.com
+ 1 pending challenge(s)
+ Deploying challenge tokens...
+ Responding to challenge for example.com authorization...
+ Cleaning challenge tokens...
+ Challenge validation has failed :(
ERROR: Challenge is invalid! (returned: invalid) (result: {
"type": "dns-01",
"status": "invalid",
"error": {
"type": "urn:ietf:params:acme:error:dns",
"detail": "DNS problem: NXDOMAIN looking up TXT for _acme-challenge.example.com - check that a DNS record exists for this domain",
"status": 400
},
"url": "https://acme-v02.api.letsencrypt.org/acme/chall-v3/9027433651/.....",
"token": "g_zU3NXkYwjt2LrRm3Yo33O22BFPLRvl......"
})
Скрипт хука основан наhttps://github.com/dehydrated-io/dehydrated/wiki/example-dns-01-nsupdate-script.
Если я проверю наличие записи TXT (перед dehydratedпопыткой удалить ее), то ее действительно не существует:
dig TXT _acme-challenge.example.com @inet.example.com
...NXDOMAIN
В журнале BIND пишет одну связанную строку:
02-Dec-2020 20:21:56.089 update: info: client 10.5.1.181#49440/key ddns-key: updating zone 'example.com/IN': adding an RR at '_acme-challenge.example.com' TXT "GLuKNhJkt3MJ4refRS_nkL9BRBbqXSl4a3QytkGfY64"
Вот и все. Больше ничего нет, хотя я увеличил уровень ведения журнала для отладки. Запись TXT не появляется, нет сообщения об ошибке, ничего.
Как это исправить?
ОС: Debian 9. Версия BIND: 9.10.
% named -V
BIND 9.10.3-P4-Debian <id:ebd72b3>
built by make with '--prefix=/usr' '--mandir=/usr/share/man' '--libdir=/usr/lib/x86_64-linux-gnu' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--with-python=python3' '--localstatedir=/' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-gost=no' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-geoip=/usr' '--with-atf=no' '--enable-ipv6' '--enable-rrl' '--enable-filter-aaaa' '--enable-native-pkcs11' '--with-pkcs11=/usr/lib/x86_64-linux-gnu/softhsm/libsofthsm2.so' '--with-randomdev=/dev/urandom' 'CFLAGS=-g -O2 -fdebug-prefix-map=/build/bind9-3gVwXu/bind9-9.10.3.dfsg.P4=. -fstack-protector-strong -Wformat -Werror=format-security -fno-strict-aliasing -fno-delete-null-pointer-checks -DNO_VERSION_DATE -DDIG_SIGCHASE' 'LDFLAGS=-Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-Wdate-time -D_FORTIFY_SOURCE=2'
compiled by GCC 6.3.0 20170516
compiled with OpenSSL version: OpenSSL 1.0.2u 20 Dec 2019
linked to OpenSSL version: OpenSSL 1.0.2u 20 Dec 2019
compiled with libxml2 version: 2.9.4
linked to libxml2 version: 20904
ОБНОВЛЯТЬ
Я нашел что-то, это, кажется, связано с IP/интерфейсом, который прослушивает BIND. Когда я использую внешне видимый сервер имен для example.com, я получаю отказ со следующими nsupdateкомандами:
% nsupdate -k /etc/exim4/ddns.key < /tmp/s
; TSIG error with server: tsig indicates error
update failed: NOTAUTH(BADKEY)
% cat /tmp/s
server inet.example.com
add _acme-challenge.example.com 1010001 in TXT "abc"
send
Однако я не получаю сообщение об ошибке и запись TXTделаетвставляется с помощью следующих nsupdateкоманд:
server 10.0.0.1
add _acme-challenge.example.com 1010001 in TXT "abc"
send