Amazon-Route53

我將域質詢 TXT 記錄發佈到 AWS Route 53,但 Let’s Encrypt 看不到它

  • January 14, 2020

我終於在給我帶來麻煩的 AWS EC2 Linux 實例上安裝了 certbot-auto,我正在嘗試從 Let’s Encrypt 獲取萬用字元證書。

我被告知要以給定的名稱(更改為保護無辜者)_acme-challenge.foo.bar.net 建立一個 TXT 記錄。

因此,我轉到 Route 53 控制台頁面,然後選擇 bar.net 託管區域。我添加 _acme-challenge.foo.bar.net 記錄,指定值,點擊“保存記錄集”,然後等待幾分鐘。然後我選擇它,然後點擊“測試記錄集”,Route 53 認為它已發布。

但是當我告訴 certbot-auto 繼續,讓我們加密查找記錄時,它不存在。如果我執行 nslookup -q=txt _acme-challenge.foo.bar.net,我會得到

伺服器找不到 _acme-challenge.foo.bar.net

對於 nslookup -q=txt foo.bar.net,我得到

伺服器找不到 foo.bar.net

然而,如果我在 foo.bar.net 上進行正常 nslookup,我會找到它。

出了什麼問題?

我找到了問題的根源。

在交叉檢查 NS 記錄中列出的伺服器時,我碰巧注意到 TXT 記錄上的名稱不是(名稱仍然更改以保護無辜)

_acme-challenge.foo.bar.net

_acme-challenge.foo.bar.net.bar.net

我沒有註意到 Route 53 控制台的記錄集編輯器將託管區域的域名放在用於輸入記錄集名稱的欄位的右側,然後將其附加到您輸入的內容中。所以我輸入了整個記錄名稱,因此兩次獲得“.bar.net”,一次是顯式的,一次是隱式的。

創造一個名叫蒙哥馬利斯科特的虛構工程師首先說出的片語,

您對管道的考慮越多,就越容易堵住排水管。

引用自:https://serverfault.com/questions/998796