假设我在 example.com 上运行一项服务,该服务依赖 SRV 记录将客户端定向到该服务(在我的情况下是 xmpp,但我认为这实际上适用于任何服务)。该服务需要证书来向客户端标识自己,我想使用 certbot/letsencrypt 来获取证书。但是,example.com 的 A 记录指向另一台服务器上的 Web 主机。
有没有办法使用 SRV 记录而不是 A 记录来请求 letsencrypt “回调我”?如果没有,有没有办法控制其回调 URL 模式,以便我可以在 A 记录处配置 Web 主机以将回调代理到实际请求证书的主机?
我知道 DNS 挑战可以作为替代验证,但就这个问题而言,假设我不想在服务主机上保留我的 DNS 提供商的凭据。
答案1
我非常肯定 LE 确实能满足您的需求。您可以将 Web 主机配置为仅获取证书(certbot certonly ...),然后将其复制到您的 XMPP 服务器。同样,DNS-01 质询不需要在主机本身上运行。您可以使用类似脱水在任何系统上获取证书,然后将它们推送到需要的地方。然后,您不需要将 DNS 服务凭据存储在 XMPP 服务器上。这就是我随后使用 Puppet 部署的许多证书所做的事情。