DDNS 證書、多域、讓我們加密、Certbot、Nginx、Ubuntu
我有點困惑,正在尋找一些指導。我在執行 Unbuntu 20.04 版本 2 的家用機器上執行最新的 Nginx。我將 pfsense 作為我的路由器/防火牆在另一台機器上執行。我已經設置了一個 DDNS (
$$ my_name $$.ddns.net) 條目指向我不斷變化的 WAN IP 地址。 我有 4 個域(拼寫我的名字的各種方式)。
我能夠使用 certbot 創建 Let’s Encrypt 證書
$$ my_name $$.ddns.net URL 使用:
sudo /snap/bin/certbot run --cert-name [my_name].ddns.net它告訴我管道是正確的。我確認生成了證書,修改了 nginx,最重要的是,當使用 HTTPS 引用 URL 時,URL 安全出現。
我現在正在嘗試為 4 個主要域之一創建另一個證書:
sudo /snap/bin/certbot run --cert-name [my_name].com -d [my_name].com此命令正在嘗試,但驗證失敗。我在 mydomain.com 託管此 URL,並將其配置為標準轉發
$$ my_name $$.ddns.net。我唯一能想到的是 mydomain.com 上的更新設置尚未傳播。 我是否應該能夠做我想做的事情(即創建第二個證書,託管在與通過標準轉發使用 HTTPS 提供同一網站的 DDNS 域相同的網路伺服器上)?
理想情況下,我希望讓這 4 個域隱身到
$$ my_name $$.ddns.net,因此使用者永遠不會看到 DDNS URL,但仍會從瀏覽器中獲取“安全”消息。 這是可能的還是我錯過了什麼?
謝謝一堆。
歸根結底,是的。您可以為通過正常 DNS 記錄(CNAME、A、AAAA)指向您的機器的任何有效名稱創建任意數量的證書。一些 DNS 提供商和域註冊商具有一項功能(有時稱為 ALIAS 記錄),可讓您將虛擬 CNAME 記錄放在域頂點上,因為 CNAME 記錄通常不能存在於域頂點上。他們的名稱伺服器將動態響應別名指向的目前 IP 地址的 A 記錄。
Let’s Encrypt 驗證伺服器將始終向標準埠 80 發出 HTTP 請求,
http://<name-in-cert>/.well-known/acme-challenge/<token>並期望在響應正文中接收適當的密鑰授權值。他們將遵循 HTTP 3xx 重定向,但我認為他們不會遵循元刷新標籤。每個名稱和每次續訂的令牌和密鑰授權值都會不同,這就是為什麼嘗試自動化此過程很重要的原因。