CNAME मोड में ESA के लिए वाइल्डकार्ड डोमेन प्रमाणपत्र प्राप्त करने की विधि

Tags:
Categories:

डोमेन अलीबाबा क्लाउड DNS या किसी तीसरे पक्ष द्वारा होस्ट किया गया है, डोमेन ns को माइग्रेट नहीं किया जा सकता है, लेकिन वाइल्डकार्ड डोमेन की आवश्यकता है। अलीबाबा क्लाउड ESA 10 प्रमाणपत्रों की सीमा प्रदान करता है, जो स्पष्ट रूप से पर्याप्त नहीं है।

यहाँ एक वाइल्डकार्ड डोमेन प्रमाणपत्र प्राप्त करने की एक विधि साझा की गई है, और अंत में सिद्धांत की व्याख्या की जाएगी।

आपको दो व्यावसायिक इंटरफेस पर संचालन करने की आवश्यकता है:

  1. ESA
  2. क्लाउड रिज़ॉल्यूशन (या तीसरे पक्ष DNS रिज़ॉल्यूशन)

संचालन चरण

  1. ESA: DNS -> सेटिंग्स: NS एक्सेस मोड में बदलें (Convert to NS access mode), सीधे पुष्टि करें, अन्य संचालन की आवश्यकता नहीं है।
  2. ESA: निःशुल्क एज प्रमाणपत्र (Edge Certificate) के लिए आवेदन करें, केवल *.example.com के लिए आवेदन करें, अपना डोमेन नाम उपयोग करें।
  3. ESA: आवेदन किए जा रहे प्रमाणपत्र के ड्रॉप-डाउन बार को खोलें, TXT रिकॉर्ड प्राप्त करें, होस्ट रिकॉर्ड:_acme-challenge.example.com, रिकॉर्ड मान-PewtWrH93avbM_bScUILtcNwCHifNvjZIa2VgT9seQ
  4. क्लाउड रिज़ॉल्यूशन: TXT रिकॉर्ड बनाएं, पिछले चरण में प्राप्त होस्ट रिकॉर्ड और रिकॉर्ड मान भरें।
  5. वाइल्डकार्ड डोमेन प्रमाणपत्र प्राप्त होने की प्रतीक्षा करें, यदि दस मिनट के भीतर प्राप्त नहीं होता है, तो इसका मतलब है कि कोई त्रुटि है, कृपया स्वयं त्रुटि की जाँच करें।
  6. ESA: DNS -> सेटिंग्स: CNAME एक्सेस मोड में बदलें (Convert to CNAME access mode), सीधे पुष्टि करें, अन्य संचालन की आवश्यकता नहीं है।

सिद्धांत

निःशुल्क प्रमाणपत्र letsencrypt से आते हैं, इसके दो सत्यापन विधियाँ हैं:

  1. HTTP-01 Challenge, Let’s Encrypt का सत्यापन सर्वर HTTP अनुरोध के माध्यम से आपके सर्वर पर एक विशिष्ट फ़ाइल (.well-known/acme-challenge/ पथ पर स्थित) तक पहुँचेगा, ताकि डोमेन पर आपके नियंत्रण की पुष्टि की जा सके।
  2. DNS-01 Challenge: इस विधि के लिए आपको अपने डोमेन के DNS रिकॉर्ड में एक TXT रिकॉर्ड जोड़ने की आवश्यकता होती है। DNS में एक विशिष्ट TXT रिकॉर्ड जोड़कर, आप साबित कर सकते हैं कि आपके पास डोमेन पर नियंत्रण है।

वाइल्डकार्ड डोमेन प्रमाणपत्र केवल DNS-01 चैलेंज के माध्यम से प्राप्त किए जा सकते हैं, यानी DNS रिकॉर्ड कॉन्फ़िगर करने की आवश्यकता है। इसलिए ESA वाइल्डकार्ड डोमेन प्रमाणपत्र के लिए आवेदन करने के लिए डोमेन को ESA प्लेटफ़ॉर्म पर होस्ट करने की आवश्यकता होती है। संचालन चरणों में “ESA: DNS -> सेटिंग्स: NS एक्सेस मोड में बदलें (Convert to NS access mode)” ESA के इंटरफ़ेस ApplyCertificate की वापसी जानकारी का विश्लेषण करके निकाला गया निष्कर्ष है। यह चरण कोई वास्तविक प्रभाव नहीं डालता है, यह केवल अलीबाबा क्लाउड के सत्यापन को बायपास करने के लिए है।

मुख्य चरण letscrypt से प्रमाणपत्र का अनुरोध करते समय, पूर्व-निर्धारित TXT रिकॉर्ड को डोमेन के NS सर्वर में लिखना है, चाहे वह सर्वर क्लाउड रिज़ॉल्यूशन से आया हो या ESA, यह साबित कर सकता है कि डोमेन स्वयं का है।

सारांश

ESA और क्लाउड रिज़ॉल्यूशन दोनों अलीबाबा क्लाउड के हिस्से हैं, लेकिन डेटा इंटरचेंज नहीं किया जा सकता है। ESA के पास स्पष्ट रूप से यह सत्यापित करने की क्षमता है कि क्या डोमेन इस खाते से संबंधित है। वाइल्डकार्ड डोमेन प्रमाणपत्र प्राप्त करने के लिए केवल क्लाउड रिज़ॉल्यूशन में एक रिज़ॉल्यूशन नियम जोड़ने और अधिकृत करने की आवश्यकता होती है, लेकिन ऐसा नहीं किया गया है। अनुभव में सुधार की गुंजाइश है।

इस विधि से प्राप्त प्रमाणपत्र को अपडेट नहीं किया जा सकता है। आप प्रमाणपत्र को ESA में सिंक करने के लिए अन्य तरीकों का उपयोग कर सकते हैं: https://api.aliyun.com/api/ESA/2024-09-10/SetCertificate