Standardmäßig verwendet Let’s Encrypt die HTTP-01-Challenge, um den Besitz zu überprüfen. Die HTTP-01-Challenge legt eine Datei im Webroot Ihres Webservers ab und verwendet den DNS-Namen des Webservers, um die Datei abzurufen. Wenn die Datei aus dem Internet abgerufen werden kann, wird die Autorität des Domänennamens überprüft und das SSL-Zertifikat ausgestellt. Das ist gut für die meisten Server und Heimanwender, die sich eine öffentliche IP-Adresse von ihrem Internetdienstanbieter (ISP) leisten können.
Was aber, wenn Sie die SSL-Zertifikate von Let’s Encrypt für die Domänennamen Ihres Heimnetzwerks oder privaten/internen Netzwerks verwenden möchten? Nun, in den meisten Heimnetzwerken ist der Erhalt eines SSL-Zertifikats von Let’s Encrypt eine Herausforderung, da Ihr ISP Ihnen höchstwahrscheinlich keine öffentliche IP-Adresse gibt. Daher können Sie die Let's Encrypt HTTP-01-Herausforderung nicht bestehen (da auf Ihre Computer/Server nicht über das Internet zugegriffen werden kann).
In diesem Fall können Sie die Let’s Encrypt DNS-01-Herausforderung nutzen, um die SSL-Zertifikate für Ihr Heim-/internes Netzwerk zu erhalten. Bei dieser Methode fügt Let’s Encrypt einen DNS-TXT-Eintrag für die „Subdomain _acme-challenge.yourdomain.xyz“ auf Ihrem DNS-Server hinzu und prüft, ob der DNS-TXT-Eintrag im Internet verfügbar ist. Wenn der TXT-Eintrag übereinstimmt, werden Sie als Inhaber der Domain verifiziert und Let’s Encrypt stellt das SSL-Zertifikat aus.
Damit die Let’s Encrypt DNS-01-Herausforderung funktioniert und das SSL-Zertifikat automatisch erneuert, müssen Sie einen DNS-Dienstanbieter (z. B. CloudFlare, DigitalOcean) verwenden, der eine API bereitstellt, mit der Sie die TXT-Einträge auf dem DNS-Server hinzufügen/entfernen können.
Wenn Ihr DNS-Registrar (bei dem Sie den Domainnamen registriert haben) solche Dienste nicht unterstützt, können Sie einen DNS-Dienstanbieter eines Drittanbieters nutzen. Sie müssen lediglich die DNS-Nameserver-Adresse Ihrer Domain vom DNS-Server Ihres DNS-Registrars in die DNS-Nameserver-Adresse Ihres gewünschten Drittanbieters für DNS-Dienste ändern.
Inhaltsthema:
- Liste der DNS-Anbieter, die sich problemlos in die DNS-Validierung von Let’s Encrypt integrieren lassen
- Liste der Let's Encrypt ACME-Clients
- Ändern des DNS-Nameservers von Ihrem Domain-Registrar
- Vorteile der Let’s Encrypt DNS-01-Validierung
- Nachteile der Let’s Encrypt DNS-01-Validierung
- Abschluss
- Verweise
Liste der DNS-Anbieter, die sich problemlos in die DNS-Validierung von Let’s Encrypt integrieren lassen
Die Let’s Encrypt-Community hat eine zusammengestellt Liste der DNS-Anbieter die eine Art API zum automatischen Hinzufügen/Entfernen der DNS-Einträge bereitstellen, damit die Let’s Encrypt-Clients die Domänennamen validieren und die SSL-Zertifikate ausstellen können.
Die Liste der DNS-Anbieter, die sich problemlos in die DNS-Validierung von Let’s Encrypt integrieren lassen, finden Sie unter dieser Link .
Liste der Let's Encrypt ACME-Clients
Let’s Encrypt-Clients werden auch ACME-Clients genannt. ACME steht für Automatic Certificate Management Environment. ACME ist ein Protokoll zur Automatisierung der Interaktion zwischen dem Computer/Server und der Zertifizierungsstelle (d. h. Let’s Encrypt).
Die beliebtesten ACME-Clients von Let’s Encrypt sind:
Ändern des DNS-Nameservers von Ihrem Domain-Registrar
Wenn Ihr Domain-Registrar nicht auf der Liste der DNS-Anbieter steht, die sich problemlos in Let’s Encrypt integrieren lassen, können Sie CloudFlare oder andere DNS-Dienstanbieter von Drittanbietern verwenden. Sie müssen lediglich den DNS-Nameserver Ihrer Domain im Dashboard Ihres Domain-Registrars in den DNS-Nameserver des Drittanbieters für DNS-Dienste ändern, den Sie verwenden möchten.
Im folgenden Screenshot haben wir Ihnen den Prozess der Änderung des DNS-Nameservers (zum DNS-Server von CloudFlare) für eine unserer Domains über das Dashboard/die Website unseres Domain-Registrars (wo wir unseren Domainnamen registriert haben) gezeigt. Der Vorgang sollte für Ihren Domain-Registrar ähnlich sein. Weitere Informationen finden Sie in der Dokumentation Ihres Domain-Registrators oder wenden Sie sich an diesen.
Vorteile der Let’s Encrypt DNS-01-Validierung
Die Vorteile der DNS-01-Validierung von Let’s Encrypt sind:
- Es ist weder eine öffentliche/über das Internet zugängliche IP-Adresse noch ein Webserver erforderlich.
- Sie können damit die SSL-Zertifikate für Wildcard-Domänennamen (z. B. *.nodekite.com, *.linuxhint.com) ausstellen.
- Es funktioniert gut für mehrere Webserver.
Nachteile der Let’s Encrypt DNS-01-Validierung
Obwohl die Let’s Encrypt DNS-01-Validierung viele Vorteile bietet, gibt es auch einige Nachteile:
- Damit die DNS-01-Validierung funktioniert, müssen Sie den API-Schlüssel/Token Ihres DNS-Dienstanbieters auf dem Server behalten, den ein Let’s Encrypt-Client verwendet, um einen TXT-Eintrag auf dem DNS-Server für die DNS-01-Validierung zu erstellen. Da der API-Schlüssel/Token auf dem Server gespeichert wird, besteht bei einem Hackerangriff auf den Server die Möglichkeit, dass der API-Schlüssel/Token kompromittiert wird.
- Nachdem der Let’s Encrypt-Client einen TXT-Eintrag auf dem DNS-Server hinzugefügt hat, dauert es eine Weile, bis die Änderungen an andere DNS-Nameserver weltweit weitergegeben werden. Der Let’s Encrypt-Client muss warten, bis die Änderungen an die gängigen DNS-Nameserver weltweit weitergegeben werden, um den Besitz der Domain zu überprüfen. Wenn Ihr DNS-Dienstanbieter die DNS-Ausbreitungszeit nicht in der API bereitstellt, weiß der Let’s Encrypt-Client nicht, wie lange er warten muss, bis die DNS-Änderungen an andere Nameserver weltweit weitergegeben werden. In diesem Fall kann es bei der DNS-Validierung zu einer Zeitüberschreitung kommen und Let’s Encrypt kann möglicherweise kein SSL-Zertifikat ausstellen.
Abschluss
In diesem Artikel haben wir die Let’s Encrypt DNS-01-Challenge besprochen und warum wir sie anstelle der Standard-HTTP-01-Challenge verwenden, um den Besitz eines Domainnamens zu überprüfen. Wir haben auch die Voraussetzungen für das Bestehen der Let’s Encrypt DNS-01-Herausforderung besprochen, um ein Let’s Encrypt SSL-Zertifikat zu erhalten. Wir haben die DNS-Dienstanbieter aufgelistet, die sich gut mit Let’s Encrypt integrieren lassen, sowie die Let’s Encrypt ACME-Clients, mit denen Sie die DNS-Validierung von Ihrem Computer/Server aus durchführen können. Abschließend haben wir die Vor- und Nachteile der DNS-Validierung von Let’s Encrypt besprochen.
Verweise:
- Herausforderungstypen – Let’s Encrypt
- DNS-Anbieter, die sich problemlos in die DNS-Validierung von Let’s Encrypt integrieren lassen – Issuance Tech – Let’s Encrypt Community Support
- Automatische Zertifikatsverwaltungsumgebung – Wikipedia
- Certbot
- GitHub – acmesh-official/acme.sh: Ein reines Unix-Shell-Skript, das das ACME-Client-Protokoll implementiert
- Installation :: Let’s Encrypt-Client und ACME-Bibliothek in Go geschrieben.
- Startseite – Posh-ACME