LetsEncrypt: Automatische Zertifikatserneuerung ohne Webserver und DNS / Konfigurationsänderungen

773
divB

Gibt es KEINE Möglichkeit, LetsEncrypt-Zertifikate automatisch zu erneuern

  1. Einen A-Eintrag in dieser Domäne haben
  2. Aktualisierung der DNS-Zone bei jeder Erneuerung

Beispiel: Ich möchte es für meinen XMPP-Server verwenden, der SRV-Einträge verwendet. Ich möchte keinen A-Datensatz hinzufügen.

Ich könnte manuell einen TXT-Datensatz hinzufügen. Es scheint jedoch, dass dies bei jeder Erneuerung erfolgen muss und ist daher nicht praktikabel. Ich möchte keinen TXT-Datensatz bei jeder Erneuerung ändern.

Ich könnte nsupdatein einem Skript verwenden, aber ich möchte kein dynamisches DNS nur dafür einrichten.

Methoden, die mir einfielen:

  1. Legen Sie einen öffentlichen Schlüssel als TXT-Eintrag in DNS (einmalig!). Bei jeder Verlängerung wird eine Challenge mit dem entsprechenden privaten Schlüssel signiert. Bei weitem das eleganteste

  2. Ein spezieller SRV-Eintrag, der auf einen Dienst verweist, bei dem ein temporärer TCP-Server geöffnet ist, um diese Anforderung zu bearbeiten

  3. Eine E-Mail mit einer Challenge wird an eine Adresse in whois der übergeordneten Domäne gesendet, auf die automatisch über einen SMTP-Server geantwortet wird

0

1 Antwort auf die Frage

0
heavyd

Als Teil der ACME-Spezifikation gibt es mehrere verschiedene Herausforderungsmethoden . Nur so können Sie Ihre Domäne überprüfen. Sie müssen also eine der angegebenen Herausforderungsmethoden auswählen. Basierend auf Ihrer Beschreibung klingt die DNS-Herausforderung (Einstellung eines TXT-Eintrags) wie die einfachste Methode, ohne einen Webserver einzurichten / freizugeben. Sie müssen jedoch entscheiden, welche Methode für Ihre Situation am besten geeignet ist.

Verwandte Probleme