當我運行時certbot review,出現以下錯誤。
以非互動方式使用手動插件時,必須使用 --manual-auth-hook 提供身份驗證腳本。
根據文件,要自動續訂通配符證書,我們需要使用 DNS 外掛。
我的問題是為什麼?為什麼 certbot 不能重複使用在初始設定期間建立的 txt 記錄?這還不足以驗證所有權嗎?
嘗試了解通配符憑證的工作原理。
答案1
驗證策略取決於憑證授權單位 (LE),而不是 Certbot。
使用 Let's Encrypt,網域驗證不是永久性的 - 如果已經超過 30 天,即使您使用相同帳戶續訂相同證書,也需要重新驗證網域的所有權。
每個新的驗證過程都將使用新的挑戰,特別是避免相同的 DNS 記錄不會永遠重複使用 – 網域驗證的目的是證明您現在仍然處於其控制之下。
請參閱本主題以獲取更多資訊:https://community.letsencrypt.org/t/will-renewal-always-require-new-dns-acme-challenge-txt/102820/2
答案2
看看這實際上是如何運作的,Let's Encrypt 的政策是對每次發行(無論是否續訂)提出新的挑戰,以確保網域所有者的同意實際上得到目前的。
雖然 Let's Encrypt 只能提供網域驗證證書,但他們對網域驗證的看法在某些領域似乎比許多傳統 CA(銷售網域驗證憑證)更強大。
我認為這可能是理想組合的結果(LE 無論如何也不會透過出售更多證書來賺錢,所以我認為他們有能力擁有理想),但也表明他們真的很認真地對待驗證,以便按順序進行驗證。
也就是說,Let's Encrypt(以及一般基於 ACME 的憑證授權)的整個基礎是自動化。按照預期使用,初始發行和續訂之間沒有真正的區別。
整個想法是,如果您使用 eg certbot,那麼當您第一次要求新憑證時,您就已經根據需要指定了與您相關的 DNS 插件和插件配置。 certbot儲存已頒發的憑證的所有參數,然後您可以自動續訂任意次數,而無需任何額外的手動工作。
特別是關於 DNS 插件,它們有 rfc2136 插件(標準 DNS 動態更新),涵蓋了您自己運行的典型 DNS 伺服器(例如 BIND、PowerDNS、Knot 等)以及許多主要 DNS 服務的 API 插件提供者。
如果您使用其中任何一個,它應該很簡單。