第三方分配给我们的二级域名(解析到我们的服务器),如果希望这个二级域名实现 https,那么能使用 let's encrypt 证书吗?
假设第三方完全不知情,也就是说一些通过域名 txt 记录进行验证的手段都无效。
1
t123yh 2020-01-17 16:10:56 +08:00 via Android
只要你能控制这个域名解析到的 IP 机器的 80 或 443 端口即可。
|
2
qiayue 2020-01-17 16:13:12 +08:00
基本搞不定,你只能找第三方协助
|
3
wangxiaoaer OP 楼上两位大哥,你们先 统一 一下意见?
|
4
lcdtyph 2020-01-17 16:15:32 +08:00 via iPhone
acme 协议可以不用 dns 验证的,你有非泛域名指向的网站的控制权即可,还要注意根域名的 caa 记录
|
5
serco 2020-01-17 16:15:35 +08:00
let's encrypt 有 webroot plugin 可以用啊
|
6
jimmy2010 2020-01-17 16:16:22 +08:00 via Android
已经解析了怎么不行呢?是 a 记录解析的就没问题啊。
|
7
CallMeReznov 2020-01-17 16:16:26 +08:00
有多种验证方式,可以自己查询一下.
|
8
d5 2020-01-17 16:18:09 +08:00
直接用文件验证呗,把验证文件放到 wwwroot 文件目录里
|
9
Vegetable 2020-01-17 16:21:21 +08:00
1# 胜出。
举个简单的例子,我司域名是另一个人管理的,每次我都会和他说给我开一个二级域名,解析到 XXX 服务器。 然后我自己去阿里云申请一个免费证书的 fileauth.txt 放到服务器,验证通过之后下载证书到服务器就好了。 这个流程里边另一个同事只负责把域名指向过来,别的什么也不需要。 |
10
netnr 2020-01-17 16:21:23 +08:00
泛解析需要 DNS 的权限,而单域名可以用 FTP 文件校验的方式签发
|
11
AS4694lAS4808 2020-01-17 16:21:31 +08:00
用 acme.sh 的--webroot,只要能访问到 80 端口就可以
|
12
netnr 2020-01-17 16:22:40 +08:00
|
13
fvckDaybyte2 2020-01-17 16:31:18 +08:00
let's encrypt 官网就有说这种情况,一步一步来就行了傻瓜教程
|
14
oh 2020-01-17 19:59:02 +08:00 via iPhone
我把二级域名解析到又拍云,也能申请下证书啊,道理不是一样?二楼张口就来啊
|
15
stille 2020-01-17 20:13:26 +08:00
申请证书就只需要验证域名所有权.既然第三方已经把二级域名指向你的服务器,那么你就在服务器上用此域名部署个 web.证书申请验证域名使用 web 验证,把对应的验证 txt 文件放在你 web 根目录即可
|
16
ZRS 2020-01-17 20:15:18 +08:00
有 A 解析就行
|
17
wangxiaoaer OP 多谢各位的回复,回头我试试。
|
19
k9982874 2020-01-17 20:22:11 +08:00 via iPhone
为啥不行,let's encrypt 只颁证书,又不管 dns 解析,只要你证明服务器和域名是你的就行。
|
20
MillerOS 2020-01-17 20:23:08 +08:00 via iPhone
可以啊,我昨天才搞了💩
|
21
wangxiaoaer OP @ZRS cname 呢,应该也没影响吧。
|
22
Showfom 2020-01-17 21:37:45 +08:00 via iPhone
除非他主域名做了 CAA 记录没有包含 Let's Encrypt
或者你服务器有防火墙不让访问 80 8080 443 8443 端口 否则都是可以的 |
23
fykang 2020-01-18 08:54:38 +08:00
没问题,我一直都是用 letsencrypt-nginx-proxy-companion 搭了个自动部署 ssl 证书的服务,只要把 ip 指向自己服务器其他都自动完成
|