Thử thách Let’s Encrypt DNS-01 là gì và cách sử dụng nó để nhận chứng chỉ SSL?

Theo mặc định, Let's Encrypt sử dụng thử thách HTTP-01 để xác minh quyền sở hữu. Thử thách HTTP-01 đặt một tệp trên Webroot của máy chủ web của bạn và sử dụng tên DNS của máy chủ web để tìm nạp tệp. Nếu tệp có thể được tìm nạp từ Internet, quyền hạn của tên miền sẽ được xác minh và chứng chỉ SSL sẽ được cấp. Điều đó tốt cho hầu hết các máy chủ và người dùng gia đình có đủ khả năng mua địa chỉ IP công cộng từ nhà cung cấp dịch vụ internet (ISP) của họ.

Tuy nhiên, nếu bạn muốn sử dụng chứng chỉ SSL Let’s Encrypt cho tên miền của mạng gia đình hoặc mạng riêng/nội bộ thì sao? Chà, trong hầu hết các mạng gia đình, việc nhận được chứng chỉ SSL Let's Encrypt là một thách thức vì rất có thể ISP của bạn sẽ không cung cấp cho bạn địa chỉ IP công cộng. Vì vậy, bạn sẽ không thể vượt qua thử thách Let’s Encrypt HTTP-01 (vì máy tính/máy chủ của bạn không thể truy cập được từ internet).

Trong trường hợp này, bạn có thể sử dụng thử thách Let’s Encrypt DNS-01 để nhận chứng chỉ SSL cho mạng gia đình/mạng nội bộ của mình. Trong phương pháp này, Let's Encrypt thêm bản ghi DNS TXT cho “tên miền phụ _acme-challenge.yourdomain.xyz” trên máy chủ DNS của bạn và kiểm tra xem bản ghi DNS TXT có sẵn trên Internet hay không. Nếu bản ghi TXT khớp, bạn đã được xác minh là chủ sở hữu tên miền và Let’s Encrypt sẽ cấp chứng chỉ SSL.

Để thử thách Let's Encrypt DNS-01 hoạt động và tự động gia hạn chứng chỉ SSL, bạn phải sử dụng nhà cung cấp dịch vụ DNS (ví dụ: CloudFlare, DigitalOcean) cung cấp API có thể được sử dụng để thêm/xóa bản ghi TXT trên máy chủ DNS.

Nếu công ty đăng ký DNS của bạn (nơi bạn đăng ký tên miền) không hỗ trợ các dịch vụ đó, bạn có thể sử dụng nhà cung cấp dịch vụ DNS bên thứ ba. Tất cả những gì bạn cần làm là thay đổi địa chỉ máy chủ tên DNS của miền từ máy chủ DNS của công ty đăng ký DNS thành địa chỉ máy chủ tên DNS của nhà cung cấp dịch vụ DNS bên thứ ba mà bạn mong muốn.

Chủ đề Nội dung:

1. Danh sách các nhà cung cấp DNS tích hợp dễ dàng với Let’s Encrypt DNS Validation
2. Danh sách máy khách Let’s Encrypt ACME
3. Thay đổi máy chủ tên DNS từ nhà đăng ký tên miền của bạn
4. Ưu điểm của Let’s Encrypt Xác thực DNS-01
5. Nhược điểm của Let’s Encrypt Xác thực DNS-01
6. Phần kết luận
7. Người giới thiệu

Danh sách các nhà cung cấp DNS tích hợp dễ dàng với Let’s Encrypt DNS Validation

Cộng đồng Let’s Encrypt đã biên soạn một danh sách các nhà cung cấp DNS hiển thị một số loại API để tự động thêm/xóa bản ghi DNS để khách hàng Let's Encrypt có thể xác thực tên miền và cấp chứng chỉ SSL.

Bạn có thể tìm thấy danh sách các nhà cung cấp DNS tích hợp dễ dàng với xác thực DNS của Let’s Encrypt tại liên kết này .

Danh sách máy khách Let’s Encrypt ACME

Máy khách Let's Encrypt còn được gọi là máy khách ACME. ACME là viết tắt của Môi trường quản lý chứng chỉ tự động. ACME là một giao thức để tự động hóa sự tương tác giữa máy tính/máy chủ và tổ chức phát hành chứng chỉ (tức là Let's Encrypt).

Các client Let’s Encrypt ACME phổ biến nhất là:

• chứng nhận
• acme.sh
• lego
• Posh-ACME

Thay đổi máy chủ tên DNS từ nhà đăng ký tên miền của bạn

Nếu nhà đăng ký tên miền của bạn không nằm trong danh sách các nhà cung cấp DNS tích hợp dễ dàng với Let's Encrypt, bạn có thể sử dụng CloudFlare hoặc các nhà cung cấp dịch vụ DNS bên thứ ba khác. Tất cả những gì bạn phải làm là thay đổi máy chủ tên DNS của miền từ bảng điều khiển của công ty đăng ký tên miền sang máy chủ tên DNS của nhà cung cấp dịch vụ DNS bên thứ ba mà bạn muốn sử dụng.

Chúng tôi đã hướng dẫn bạn quy trình thay đổi máy chủ tên DNS (sang máy chủ DNS của CloudFlare) cho một trong các miền của chúng tôi từ bảng điều khiển/trang web của công ty đăng ký tên miền (nơi chúng tôi đã đăng ký tên miền của mình) trong ảnh chụp màn hình sau. Quá trình này sẽ tương tự đối với nhà đăng ký tên miền của bạn. Để biết thêm thông tin, hãy đọc tài liệu của nhà đăng ký tên miền của bạn hoặc liên hệ với họ.

Ưu điểm của Let’s Encrypt Xác thực DNS-01

Ưu điểm của việc xác thực DNS-01 của Let’s Encrypt là:

• Nó không yêu cầu địa chỉ IP công cộng/có thể truy cập internet hoặc máy chủ web.
• Bạn có thể sử dụng nó để cấp chứng chỉ SSL cho tên miền ký tự đại diện (ví dụ: *.nodekite.com, *.linuxhint.com).
• Nó hoạt động tốt cho nhiều máy chủ web.

Nhược điểm của Let’s Encrypt Xác thực DNS-01

Mặc dù có nhiều ưu điểm khi xác thực Let’s Encrypt DNS-01 nhưng cũng có một số nhược điểm:

• Để xác thực DNS-01 hoạt động, bạn cần giữ khóa/mã thông báo API của nhà cung cấp dịch vụ DNS trên máy chủ mà ứng dụng khách Let's Encrypt sẽ sử dụng để tạo bản ghi TXT trên máy chủ DNS để xác thực DNS-01. Vì khóa/mã thông báo API được lưu giữ trên máy chủ nên nếu máy chủ bị tấn công thì có khả năng khóa/mã thông báo API sẽ bị xâm phạm.
• Sau khi máy khách Let's Encrypt thêm bản ghi TXT trên máy chủ DNS, phải mất một thời gian để truyền các thay đổi đến các máy chủ tên DNS khác trên toàn thế giới. Máy khách Let's Encrypt cần đợi các thay đổi lan truyền đến các máy chủ tên DNS phổ biến trên toàn thế giới để xác minh quyền sở hữu miền. Nếu nhà cung cấp dịch vụ DNS của bạn không cung cấp thời gian truyền DNS trong API, ứng dụng khách Let's Encrypt sẽ không biết phải đợi bao lâu để các thay đổi DNS lan truyền đến các máy chủ tên khác trên toàn thế giới. Trong trường hợp đó, quá trình xác thực DNS có thể hết thời gian chờ và Let's Encrypt có thể không cấp được chứng chỉ SSL.

Phần kết luận

Trong bài viết này, chúng tôi đã thảo luận về thử thách Let's Encrypt DNS-01 và lý do sử dụng nó thay vì thử thách HTTP-01 mặc định để xác minh quyền sở hữu tên miền. Chúng tôi cũng đã thảo luận về các yêu cầu để vượt qua thử thách Let’s Encrypt DNS-01 để nhận được chứng chỉ SSL Let’s Encrypt. Chúng tôi đã liệt kê các nhà cung cấp dịch vụ DNS tích hợp tốt với Let's Encrypt cũng như các máy khách Let's Encrypt ACME mà bạn có thể sử dụng để thực hiện xác thực DNS từ máy tính/máy chủ của mình. Cuối cùng, chúng tôi đã thảo luận về những ưu điểm và nhược điểm của việc xác thực DNS Let's Encrypt.

Người giới thiệu:

• Các loại thử thách – Hãy mã hóa
• Các nhà cung cấp DNS dễ dàng tích hợp với Let’s Encrypt Xác thực DNS – Công nghệ phát hành – Let’s Encrypt Hỗ trợ cộng đồng
• Môi trường quản lý chứng chỉ tự động - Wikipedia
• chứng nhận
• GitHub – acmesh-official/acme.sh: Tập lệnh shell Unix thuần túy triển khai giao thức máy khách ACME
• Cài đặt :: Let’s Encrypt client và thư viện ACME viết bằng Go.
• Trang chủ – Posh-ACME