我应该保持哪些端口开放以允许基于 ACME 的证书更新?

我应该保持哪些端口开放以允许基于 ACME 的证书更新?

我在面向公众的服务器上托管一个网站。在这个网站上,我希望有尽可能严格的防火墙规则;这种方法的一部分涉及按端口列入白名单。

我已经向几个受信任的地址开放了 SSH,并且我已经配置iptables为允许来自 HTTP 和 HTTPS 上任何位置的流量,但总体DROP策略是INPUT

现在,我正在尝试为指向该框的域设置 Let's Encrypt,但它始终挂起,直到我iptables --policy INPUT ACCEPT在证书签名期间运行。

这很令人困惑,因为据我所知:

  • 证明在某个指定的子目录中生成/var/www/
  • acme-tinyletsencrypt.org通过 HTTPS发送签名请求至
  • 执法部门的服务器通过 HTTP 从该目录获取证据

...所以唯一需要打开的端口是 80 和 443。

如上所述,脚本会挂在它尝试验证的第一个域上(直到超时),除非我将全局INPUT策略设置为ACCEPT,理想情况下,我想避免这种情况。

列入白名单后仍然存在此问题全部letsencrypt.org来自、acme-staging.api.letsencrypt.org和 的流量acme-v01.api.letsencrypt.org

我应该将哪些其他端口和域以及哪些链列入白名单,以便acme-tiny在需要续订时可以定期访问 LE 服务器?

相关内容