Metoda uzyskiwania certyfikatów domeny ogólnej w ESA w trybie CNAME

Tags:
Categories:

Domena jest hostowana w usłudze Alibaba Cloud DNS lub w usłudze DNS innych firm, nie można przenieść ns domeny, ale potrzebna jest domena ogólna. Alibaba Cloud ESA oferuje limit 10 certyfikatów, co oczywiście jest niewystarczające.

Oto metoda uzyskiwania certyfikatów domeny ogólnej, na końcu zostanie wyjaśniona zasada działania.

Operacje muszą zostać przeprowadzone na dwóch interfejsach:

  1. ESA
  2. Rozwiązywanie nazw domen (lub rozwiązywanie nazw domen innych firm)

Krok po kroku

  1. ESA: DNS -> Ustawienia: Przełącz na tryb dostępu NS, po prostu potwierdź, nie potrzebne są żadne inne operacje.
  2. ESA: Złóż wniosek o bezpłatny certyfikat krawędziowy, złożony tylko z *.example.com, użyj własnej domeny
  3. ESA: Otwórz listę rozwijaną certyfikatu w trakcie aplikacji, aby uzyskać rekord txt, rekord hosta:_acme-challenge.example.com, wartość rekordu:-PewtWrH93avbM_bScUILtcNwCHifNvjZIa2VgT9seQ
  4. Rozwiązanie nazw domen: Utwórz rekord TXT, wprowadź rekord hosta i wartość rekordu z poprzedniego kroku
  5. Poczekaj na uzyskanie certyfikatu domeny ogólnej, jeśli w ciągu dziesięciu minut nie zostanie uzyskany, oznacza to błąd, sprawdź błąd samodzielnie.
  6. ESA: DNS -> Ustawienia: Przełącz na tryb dostępu CNAME, po prostu potwierdź, nie potrzebne są żadne inne operacje.

Zasada działania

Bezpłatne certyfikaty pochodzą z letsencrypt, które mają dwa sposoby uwierzytelniania:

  1. Wyzwanie HTTP-01: Serwer weryfikacyjny Let’s Encrypt odwiedzi za pomocą żądania HTTP określony plik na Twoim serwerze (w lokalizacji .well-known/acme-challenge/), aby potwierdzić Twoją kontrolę nad domeną.
  2. Wyzwanie DNS-01: Ten sposób wymaga dodania rekordu TXT w rekordach DNS Twojej domeny. Dodając określony rekord TXT w DNS, możesz udowodnić, że masz kontrolę nad tą domeną.

Certyfikaty domeny ogólnej mogą być uzyskane tylko za pomocą Wyzwania DNS-01, co oznacza, że trzeba skonfigurować rekordy DNS. Dlatego ESA wymaga, aby domena była hostowana na platformie ESA, aby można było złożyć wniosek o certyfikat domeny ogólnej. W krokach operacyjnych “ESA: DNS -> Ustawienia: Przełącz na tryb dostępu NS” jest to wniosek wyciągnięty z analizy informacji zwrotnej interfejsu ESA ApplyCertificate. Ten krok nie ma żadnego rzeczywistego wpływu, służy jedynie omijaniu weryfikacji Alibaba Cloud.

Głównym krokiem jest wpisanie zaplanowanego rekordu TXT do serwera nazw domeny podczas składania wniosku o certyfikat do letscrypt, niezależnie od tego, czy serwer pochodzi z usługi rozwiązywania nazw domen czy z ESA, można udowodnić, że domena należy do Ciebie.

Podsumowanie

ESA i usługa rozwiązywania nazw domen należą do Alibaba Cloud, ale nie mogą wymieniać się danymi. ESA wyraźnie ma zdolność weryfikacji, czy domena należy do tego konta, a uzyskanie certyfikatu domeny ogólnej wymaga jedynie dodania jednej reguły rozwiązywania nazw domen w usłudze rozwiązywania nazw domen i przyznania uprawnień. Jednak tego nie zrobiono. Doświadczenie użytkownika ma jeszcze potencjał do poprawy.

Certyfikaty uzyskane tą metodą mogą nie być aktualizowane, można użyć innych sposobów na zdefiniowanie synchronizacji certyfikatów do ESA: https://api.aliyun.com/api/ESA/2024-09-10/SetCertificate