Летсенкрипт и SRV записи

Question

Летсенкрипт и SRV записи

У меня есть следующие настройки:

Домен example.com

2 сервера: server1.example.com и server2.example.com

Я хотел бы использовать записи srv, чтобы иметь выразительные доменные имена для каждого из моих сервисов. Например, ssh.server1.example.com и imap.server2.example.com, и сопоставьте их с определенными портами, используя записи srv.

Теперь, как я понял, letsencrypt должен работать на порте 80 для проверки домена. Если теперь у меня есть ssh.server1.example.com, сопоставленный с server1.example.com и портом 2222, можно ли получить сертификат от letsencrypt? Будут ли они просто использовать IP-адрес в записи srv и по-прежнему смотреть на порт 80, или мне абсолютно необходима запись A. Я не хотел бы этого делать, равно как и не отображал бы где-нибудь *.example.com.

Заранее спасибо!

0

ssl-certificate lets-encrypt srv-record

Источник

Mohammed Ajil 25 июн '16 в 23:07

1 ответ

Решение

Другие вопросы по тегам ssl-certificate lets-encrypt srv-record

Ryan Bolger 26 июн '16 в 03:39 2016-06-26 03:39 · Accepted Answer · 2016-06-26 03:39

Вы можете размещать свои услуги так, как хотите, с помощью сертификата, полученного от LetsEncrypt. Но чтобы получить сертификат, сначала необходимо доказать, что вы являетесь владельцем доменного имени, для которого создаются сертификаты. Со многими центрами сертификации это довольно ручной процесс. Но частью LetsEncrypt является автоматизация всего жизненного цикла сертификата, который включает проверку домена.

Поэтому LetsEncrypt разработал протокол ACME, в котором используется набор задач, которые вы должны пройти, по крайней мере, один из них, чтобы подтвердить, что вы являетесь владельцем домена. Наиболее распространенная проблема, используемая людьми, - это проблема http, которая требует от вас размещения определенного файла на веб-сервере, прослушивающем порт 80 для домена, для которого вы запрашиваете сертификат. Но есть другой тип проблемы, использующий DNS, который не требует от вас размещения чего-либо. Вместо этого вы добавляете определенную запись DNS в зону, для которой вы запрашиваете сертификат. Вот гугл-документ, который кто-то соединил, сравнивая различные типы испытаний.

Так что в вашем случае использование DNS-вызова, вероятно, имеет смысл. Но вы должны прочитать в документации, чтобы узнать больше о том, как это работает.