Bilang default, ginagamit ng Let's Encrypt ang HTTP-01 challenge para i-verify ang pagmamay-ari. Ang HTTP-01 challenge ay naglalagay ng file sa Webroot ng iyong web server at ginagamit ang DNS name ng webserver para kunin ang file. Kung ang file ay maaaring makuha mula sa internet, ang awtoridad ng domain name ay mabe-verify at ang SSL certificate ay ibibigay. Mabuti iyon para sa karamihan ng mga server at user sa bahay na kayang bumili ng pampublikong IP address mula sa kanilang internet service provider (ISP).
Ngunit, paano kung gusto mong gamitin ang Let's Encrypt SSL certificate para sa mga domain name ng iyong home network o pribado/internal na network? Well, sa karamihan ng mga home network, ang pagkuha ng Let's Encrypt SSL certificate ay isang hamon dahil malamang, hindi ka bibigyan ng iyong ISP ng pampublikong IP address. Kaya, hindi mo maipapasa ang Let's Encrypt HTTP-01 challenge (dahil ang iyong mga computer/server ay hindi naa-access mula sa internet).
Sa kasong ito, maaari mong gamitin ang hamon na Let's Encrypt DNS-01 para makuha ang mga SSL certificate para sa iyong home/internal network. Sa paraang ito, ang Let's Encrypt ay nagdaragdag ng DNS TXT record para sa “subdomain _acme-challenge.yourdomain.xyz” sa iyong DNS server at tinitingnan kung available ang DNS TXT record mula sa internet. Kung tumugma ang tala ng TXT, na-verify ka bilang may-ari ng domain at ang Let's Encrypt ay magbibigay ng SSL certificate.
Para gumana ang hamon na Let's Encrypt DNS-01 at awtomatikong i-renew ang SSL certificate, dapat kang gumamit ng DNS service provider (i.e. CloudFlare, DigitalOcean) na naglalantad ng API na magagamit para magdagdag/mag-alis ng mga TXT record sa DNS server.
Kung ang iyong DNS registrar (kung saan mo inirehistro ang domain name) ay walang suporta para sa mga naturang serbisyo, maaari kang gumamit ng third-party na DNS service provider. Ang kailangan mo lang gawin ay baguhin ang DNS nameserver address ng iyong domain mula sa DNS server ng iyong DNS registrar patungo sa DNS nameserver address ng iyong gustong third-party na DNS service provider.
Paksa ng Nilalaman:
- Listahan ng mga DNS Provider na Madaling Sumasama sa Let's Encrypt DNS Validation
- Listahan ng Let's Encrypt ACME Clients
- Pagbabago ng DNS Nameserver mula sa Iyong Domain Registrar
- Mga Bentahe ng Let's Encrypt DNS-01 Validation
- Mga Kakulangan ng Let's Encrypt DNS-01 Validation
- Konklusyon
- Mga sanggunian
Listahan ng mga DNS Provider na Madaling Sumasama sa Let's Encrypt DNS Validation
Ang Let's Encrypt na komunidad ay pinagsama-sama a listahan ng mga DNS provider na naglalantad ng ilang uri ng API upang awtomatikong magdagdag/mag-alis ng mga tala ng DNS para ma-validate ng mga kliyenteng Let’s Encrypt ang mga domain name at makapagbigay ng mga SSL certificate.
Ang listahan ng mga DNS provider na madaling sumasama sa Let's Encrypt DNS validation ay makikita sa ang link na ito .
Listahan ng Let's Encrypt ACME Clients
Ang mga kliyente ng Let's Encrypt ay tinatawag ding mga kliyente ng ACME. Ang ACME ay kumakatawan sa Automatic Certificate Management Environment. Ang ACME ay isang protocol para sa pag-automate ng pakikipag-ugnayan sa pagitan ng computer/server at ng awtoridad sa sertipiko (ibig sabihin, Let's Encrypt).
Ang pinakasikat na mga kliyente ng Let's Encrypt ACME ay:
Pagbabago ng DNS Nameserver mula sa Iyong Domain Registrar
Kung ang iyong domain registrar ay wala sa listahan ng mga DNS provider na madaling sumasama sa Let's Encrypt, maaari mong gamitin ang CloudFlare o iba pang third-party na DNS service provider. Ang kailangan mo lang gawin ay baguhin ang DNS nameserver ng iyong domain mula sa dashboard ng iyong domain registrar patungo sa DNS nameserver ng third-party na DNS service provider na gusto mong gamitin.
Ipinakita namin sa iyo ang proseso ng pagpapalit ng DNS nameserver (sa DNS server ng CloudFlare) para sa isa sa aming mga domain mula sa dashboard/website ng aming domain registrar (kung saan namin inirehistro ang aming domain name) sa sumusunod na screenshot. Ang proseso ay dapat na katulad para sa iyong domain registrar. Para sa higit pang impormasyon, basahin ang dokumentasyon ng iyong domain registrar o makipag-ugnayan sa kanila.
Mga Bentahe ng Let's Encrypt DNS-01 Validation
Ang mga bentahe ng pagpapatunay ng DNS-01 ng Let's Encrypt ay:
- Hindi ito nangangailangan ng pampubliko/internet-access na IP address o isang web server.
- Magagamit mo ito upang mag-isyu ng mga SSL certificate para sa mga wildcard na domain name (i.e. *.nodekite.com, *.linuxhint.com).
- Ito ay mahusay na gumagana para sa maramihang mga web server.
Mga Kakulangan ng Let's Encrypt DNS-01 Validation
Bagama't maraming mga pakinabang ng pagpapatunay ng Let's Encrypt DNS-01, mayroon ding ilang mga disadvantages:
- Para gumana ang DNS-01 validation, kailangan mong panatilihin ang API key/token ng iyong DNS service provider sa server na gagamitin ng Let's Encrypt client para gumawa ng TXT record sa DNS server para sa DNS-01 validation. Habang pinapanatili ang API key/token sa server, kung na-hack ang server, may posibilidad na makompromiso ang API key/token.
- Pagkatapos ng Let's Encrypt client na magdagdag ng TXT record sa DNS server, magtatagal bago i-propagate ang mga pagbabago sa ibang DNS nameserver sa buong mundo. Kailangang hintayin ng kliyenteng Let's Encrypt ang mga pagbabago na ipalaganap sa mga karaniwang DNS nameserver sa buong mundo para ma-verify ang pagmamay-ari ng domain. Kung ang iyong DNS service provider ay hindi nagbibigay ng DNS propagation time sa API, ang Let's Encrypt client ay hindi malalaman kung gaano katagal maghihintay para sa mga pagbabago sa DNS na mag-propagate sa iba pang mga nameserver sa buong mundo. Kung ganoon, maaaring mag-time out ang pagpapatunay ng DNS, at maaaring mabigo ang Let's Encrypt na mag-isyu ng SSL certificate.
Konklusyon
Sa artikulong ito, tinalakay namin ang hamon na Let's Encrypt DNS-01 at bakit ito gagamitin sa default na hamon ng HTTP-01 upang i-verify ang pagmamay-ari ng isang domain name. Tinalakay din namin ang mga kinakailangan para sa pagpasa sa Let's Encrypt DNS-01 challenge para makakuha ng Let's Encrypt SSL certificate. Inilista namin ang mga DNS service provider na mahusay na pinagsama sa Let's Encrypt pati na rin sa Let's Encrypt ACME client na magagamit mo upang maisagawa ang pagpapatunay ng DNS mula sa iyong computer/server. Sa wakas, tinalakay namin ang mga pakinabang at disadvantage ng Let's Encrypt DNS validation.
Mga sanggunian:
- Mga Uri ng Hamon – I-encrypt Natin
- Mga DNS provider na madaling sumasama sa Let's Encrypt DNS validation – Issuance Tech – Let’s Encrypt Community Support
- Awtomatikong Kapaligiran sa Pamamahala ng Sertipiko – Wikipedia
- Certbot
- GitHub – acmesh-official/acme.sh: Isang purong Unix shell script na nagpapatupad ng ACME client protocol
- Pag-install :: Let's Encrypt client at ACME library na nakasulat sa Go.
- Tahanan – Posh-ACME