WebサーバーのLet's Encryptからワイルドカード証明書を取得しようとしています。
「ローカル」ホストを使用しているため、certbotにはDNS認証プラグインがありません。したがって、手動の方法を使用する必要があります。
これを行うと、certbotは2つのDNS TXT
レコードを追加することを望みます。このために、「ローカル」ホストから管理コンソールにログインし、TXT
レコードを追加します。
変更を適用するとき、変更が世界中に知られるまでに最大48時間かかることがあると書かれています。
私の質問は、変更が伝播するのに非常に時間がかかる場合、どのように機能するのでしょうか?
2番目の質問:これは正しいことですか?同じホストで2つのDNS TXT
エントリを使用できますか?または、2番目を追加するように求められたときに最初の1つを編集する必要がありますか?その後、さらに時間がかかります。
変更が伝播するのに非常に長い時間がかかる場合、これはどのように機能しますか?
伝播時間(「変更が世界中に知られるまで最大48時間」)は、世界中のさまざまなDNSサーバーmayドメインのレコードを内部キャッシュに保存します。ただし、( ACMEプロトコル に従って)DNS検証を実行する場合、Let’s Encryptは再帰的なネームサーバーを使用しません。ドメインのTXTリソースレコードをチェックするとき、権限のあるネームサーバーに直接クエリを送信します。したがって、遅延はありません。
これは正しいことですか?同じホストで2つのDNS TXTエントリを使用できますか?または、2番目を追加するように求められたときに最初の1つを編集する必要がありますか?その後、さらに時間がかかります。
はい、あなたはこれを正しくやっています。 DNS標準に従って、同じ(サブ)ドメインに対して複数のTXTレコードを持つことは問題ありません。 _acme-challenge.example.com
とexample.com
の両方のX.509証明書を検証するために、Dig
ユーティリティが*.example.com
ドメインの結果を返す方法の例を次に示します。
$ Dig _acme-challenge.example.com TXT
...
;; ANSWER SECTION:
_acme-challenge.example.com. 3600 IN TXT "TXrF987Uc1aEl4TTm7LL76rrN3wba9q6kkTmcNJnjNk"
_acme-challenge.example.com. 3600 IN TXT "L3f2m9APvpIlamHHtZ2deRvDdhSPMcMmvPHsvSsln9o"
...