我想问一下是否有人知道一种工具,它可以从上游实例(如通过 HTTP-01 或 DNS-01 的 Let's Encrypt)获取和管理证书,并通过本地 ACME 等提供这些证书。此外,我希望可以添加一种部署机制,将证书推送到打印机或交换机等设备,一个钩子脚本似乎就足够了。
我正在寻找这种中间件管理,因为我遇到过这样的情况,我需要一个主机名发布到多台机器,例如
- 主机 A:hosta.intern。+ service.intern。
- 主机 B:hostb.intern。+ service.intern。
这些域名当然在 example.com 的范围内,因此域名本身是公开的,并且在我的控制之下。只是服务器无法从 WAN 访问。
虽然我可以通过使用 DNS-01 验证来实现这一点,但我不确定每个 DNS 提供商是否都提供了创建这种细粒度 API 帐户的可能性。
答案1
无法将 Let's Encrypt 证书用于面向内部的网站/服务。由于证书信任的性质,您需要在 LAN 内创建一个受浏览器等信任的自签名 CA。
此外,没有自动化系统(至少据我所知)可以将证书部署到打印机、交换机等。由于审计等原因,大多数都是企业内部编写的。
请记住 Let's Encrypt 的范围:通过强制 SSL 连接帮助公共互联网变得更加安全。您所描述的超出了该范围。