如何使用“让我们加密DNS挑战验证”?

160

让我们加密宣布他们有:

开启了对ACME DNS挑战的支持

如何./letsencrypt-auto使用DNS质询域验证来生成新证书?

编辑
我的意思是:我如何http/https通过使用新宣布的功能(2015-01-20)避免端口绑定,该功能使您可以通过在目标域的DNS区域中添加特定的TXT记录来证明域所有权?

lets-encrypt 
皮埃尔·普里内蒂
source
3
旁注:Certbot(这是letsencrypt客户端的新名称)现在默认情况下允许基于Webroot的身份验证。
Pierre Prinetti

Answers:

203

当前,还可以在手动模式下使用certbot LetsEncrypt客户端执行DNS验证。自动化也是可能的(请参见下文)。

手动插件

您可以执行手动验证-使用手动插件。 

certbot -d bristol3.pki.enigmabridge.com --manual --preferred-challenges dns certonly

然后,Certbot将为您提供说明,以手动更新该域的TXT记录,以便继续进行验证。

Please deploy a DNS TXT record under the name
_acme-challenge.bristol3.pki.enigmabridge.com with the following value:

667drNmQL3vX6bu8YZlgy0wKNBlCny8yrjF1lSaUndc

Once this is deployed,
Press ENTER to continue

更新DNS记录后,按Enter键,certbot将继续,如果LetsEncrypt CA验证了质询,则照常颁发证书。

您还可以使用带有更多选项的命令来最大程度地减少交互性并回答certbot问题。请注意,手动插件尚不支持非交互模式。

certbot --text --agree-tos --email you@example.com -d bristol3.pki.enigmabridge.com --manual --preferred-challenges dns --expand --renew-by-default  --manual-public-ip-logging-ok certonly

续订不适用于手动插件,因为它以非交互模式运行。有关更多信息,请参见官方Certbot 文档

更新:手动挂钩

在新版本Certbot您可以使用挂钩,例如--manual-auth-hook--manual-cleanup-hook。挂钩是由Certbot执行以执行任务的外部脚本。

信息在环境变量中传递-例如验证域,质询令牌。瓦尔:CERTBOT_DOMAINCERTBOT_VALIDATIONCERTBOT_TOKEN

certbot certonly --manual --preferred-challenges=dns --manual-auth-hook /path/to/dns/authenticator.sh --manual-cleanup-hook /path/to/dns/cleanup.sh -d secure.example.com

您可以编写自己的处理程序,也可以使用已经存在的处理程序,例如Cloudflare DNS。

有关Certbot 钩子官方文档的更多信息

自动化,续订,脚本

如果您想自动化DNS挑战验证,目前无法使用vanila certbot进行。更新:使用Certbot挂钩可以实现一些自动化。

因此,我们创建了一个简单的插件,该插件支持DNS自动化脚本编写。它可以作为certbot-external-auth使用

pip install certbot-external-auth

它支持DNS,HTTP,TLS-SNI验证方法。您可以在处理程序模式或JSON输出模式下使用它。

处理程序模式

在处理程序模式下,certbot +插件调用外部挂钩(程序,shell脚本,python等)以执行验证和安装。在实践中,您编写了一个简单的处理程序/ shell脚本,该脚本获取输入参数-域,令牌并在DNS中进行更改。处理程序完成后,certbot照常进行验证。

这给您额外的灵活性,也可以续订。

处理程序模式也与脱水 DNS挂钩(以前的letsencrypt.sh)兼容。通用提供商(例如CloudFlare,GoDaddy,AWS)已经有许多DNS挂钩。在资源库中,有一个自述文件,其中包含大量示例和示例处理程序。

脱水 DNS挂钩示例:

certbot \
    --text --agree-tos --email you@example.com \
    --expand --renew-by-default \
    --configurator certbot-external-auth:out \
    --certbot-external-auth:out-public-ip-logging-ok \
    -d "bristol3.pki.enigmabridge.com" \
    --preferred-challenges dns \
    --certbot-external-auth:out-handler ./dehydrated-example.sh \
    --certbot-external-auth:out-dehydrated-dns \
    run

JSON模式

另一个插件模式是JSON模式。每行产生一个JSON对象。这可以实现更复杂的集成-例如,Ansible或某个Deployment Manager调用certbot。通过STDOUT和STDIN进行通信。Cerbot产生带有数据的JSON对象以执行验证,例如,

certbot \
    --text --agree-tos --email you@example.com \
    --expand --renew-by-default \
    --configurator certbot-external-auth:out \
    --certbot-external-auth:out-public-ip-logging-ok \
    -d "bristol3.pki.enigmabridge.com" \
    --preferred-challenges dns \
    certonly 2>/dev/null

{"cmd": "perform_challenge", "type": "dns-01", "domain": "bs3.pki.enigmabridge.com", "token": "3gJ87yANDpmuuKVL2ktfQ0_qURQ3mN0IfqgbTU_AGS4", "validation": "ejEDZXYEeYHUxqBAiX4csh8GKkeVX7utK6BBOBshZ1Y", "txt_domain": "_acme-challenge.bs3.pki.enigmabridge.com", "key_auth": "3gJ87yANDpmuuKVL2ktfQ0_qURQ3mN0IfqgbTU_AGS4.tRQM98JsABZRm5-NiotcgD212RAUPPbyeDP30Ob_7-0"}

DNS更新后,呼叫者将换行符发送到certbot的STDIN,以表明它可以继续进行验证。

这样可以从中央管理服务器进行自动化和证书管理。对于安装,您可以通过SSH部署证书。

有关更多信息,请参阅certbot-external-auth GitHub 上的自述文件和示例。

编辑:还有一个新的博客文章,描述了DNS验证问题和插件的用法。

编辑:我们目前正在进行Ansible两步验证,即将推出。

ph4r05
source
将网站迁移到另一台服务器时,在切换A记录之前,您可能需要新证书。您可以certbot certonly --preferred-challenges dns -d example.com对初始请求使用手动方法()。测试并切换A记录后,请使用通用的webroot方法(certbot certonly webroot -d example.com -w /path/to/webroot),并使用与以前完全相同的域名。如果正确完成,certbot将识别现有的证书/配置并更新更新设置,因此将来会自动更新证书。
marcovtwout
它有效,当心EC2级别的AWS防火墙
jruzafa
我肯定想知道--manual-public-ip-logging-ok的含义是什么。...文档对此含糊不清,使用该示例的所有示例都无法解释...包括该示例。
Rondo
续订过程是否每次都需要新的TXT记录?
老盖泽
1
@Rondo当您以交互方式使用手动模式请求证书时,将显示以下提示:“注意:该计算机的IP将公开记录为已请求此证书。如果您在非手动计算机上以手动模式运行certbot,您的服务器,请确保您还可以。” 此选项对该提示说是。
大师
39

我能够使用dehydrated客户端使用DNS验证来获取证书。

https://github.com/lukas2511/脱水

./dehydrated --cron --domain my.domain.example.com --hook ./hook.route53.rb --challenge dns-01

您需要为您的域使用正确的DNS验证钩子,但是有一些示例可供选择:

https://github.com/lukas2511/dehydrated/wiki/Examples-for-DNS-01-hooks

亚历克斯
source
这对我来说真的很好。我要添加的唯一警告是,我必须安装route53.rb钩子脚本中定义的一些gem依赖项。
jmreicha
10

截止到今天,官方客户端还不支持DNS-01挑战类型。

参见https://community.letsencrypt.org/t/status-of-official-letsencrypt-clients-dns-01-challenge-support/9427

我没有看这个,所以我真的不知道。我的高级理解只是“我们的Python客户端尚未支持DNS挑战”。

您可以通过此PR跟踪进度。另外,有些客户已经支持它。

西蒙妮·卡莱蒂(Simone Carletti)
source
1
foo
3

如先前的答案所述,您可以使用以下方法通过DNS轻松验证域:

  1. 安装所需的应用程序(在Ubuntu下): apt-get install -y git ruby letsencrypt git clone https://github.com/lukas2511/dehydrated.git git clone https://github.com/jbjonesjr/letsencrypt-manual-hook.git dehydrated/hooks/manual
  2. 为www.example.com生成带有手动DNS质询确认的证书(替换为您的域): ./dehydrated/dehydrated -c -t dns-01 -d www.example.com -k ./dehydrated/hooks /manual/manual_hook.rb
panticz.de
source
3

在尝试了不同的组合之后,这对我来说就是使用脱水letencrypt-man-hook git存储库。如果以下步骤对您有用,请不要忘记为这些存储库加注星标

注意:这是除了panticz.de和alexcline的答案

~$ git clone https://github.com/lukas2511/dehydrated.git
~$ git clone https://github.com/jbjonesjr/letsencrypt-manual-hook.git dehydrated/hooks/manual
~$ cd dehydrated
~$ ./dehydrated --register --accept-terms
~$ ./dehydrated --cron --challenge dns-01 --domain your.domain.com --hook ./hooks/manual/manual_hook.rb
#
# !! WARNING !! No main config file found, using default config!
#
Processing your.domain.com
 + Signing domains...
 + Creating new directory /Users/vikas/dehydrated/certs/your.domain.com ...
 + Creating chain cache directory /Users/vikas/dehydrated/chains
 + Generating private key...
 + Generating signing request...
 + Requesting authorization for your.domain.com...
 + 1 pending challenge(s)
 + Deploying challenge tokens...
Checking for pre-existing TXT record for the domain: '_acme-challenge.your.domain.com'.
Create TXT record for the domain: '_acme-challenge.your.domain.com'. TXT record:
'gkIxxxxxxxIcAESmjF8pjZGQrrZxxxxxxxxxxx'
Press enter when DNS has been updated...

您将获得一个哈希值(运行上述命令后),在DNS中创建TXT记录。通过运行以下命令或GSuite工具箱来确保其正常工作

~$ dig TXT _acme-challenge.your.domain.com. +short @8.8.8.8
"gkIxxxxxxxIcAESmjF8pjZGQrrZxxxxxxxxxxx"
~$

现在,在提示符下按Enter。尽管TXT记录已更新,但是这对我不起作用。我必须按Ctrl + C并再次运行命令。

~$ ./dehydrated --cron --challenge dns-01 --domain your.domain.com --hook ./hooks/manual/manual_hook.rb
#
# !! WARNING !! No main config file found, using default config!
#
Processing your.domain.com
 + Signing domains...
 + Generating private key...
 + Generating signing request...
 + Requesting authorization for your.domain.com...
 + 1 pending challenge(s)
 + Deploying challenge tokens...
Checking for pre-existing TXT record for the domain: '_acme-challenge.your.domain.com'.
Found gkIxxxxxxxIcAESmjF8pjZGQrrZxxxxxxxxxxx. match.
 + Responding to challenge for your.domain.com authorization...
Challenge complete. Leave TXT record in place to allow easier future refreshes.
 + Challenge is valid!
 + Requesting certificate...
 + Checking certificate...
 + Done!
 + Creating fullchain.pem...
 + Walking chain...
 + Done!
~$

现在,您的公共和私人证书都在这里。

$ ls certs/your.domain.com/privkey.pem certs/your.domain.com/fullchain-1517576424.pem

要续订(最短等待时间为30天),只需再次执行同一命令即可。

~$ ./dehydrated --cron --challenge dns-01 --domain your.domain.com --hook ./hooks/manual/manual_hook.rb
vikas027
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.