web-dev-qa-db-ja.com

certbotとDNSチャレンジを使用したワイルドカード証明書

WebサーバーのLet's Encryptからワイルドカード証明書を取得しようとしています。

「ローカル」ホストを使用しているため、certbotにはDNS認証プラグインがありません。したがって、手動の方法を使用する必要があります。

これを行うと、certbotは2つのDNS TXTレコードを追加することを望みます。このために、「ローカル」ホストから管理コンソールにログインし、TXTレコードを追加します。

enter image description here

変更を適用するとき、変更が世界中に知られるまでに最大48時間かかることがあると書かれています。

私の質問は、変更が伝播するのに非常に時間がかかる場合、どのように機能するのでしょうか?

2番目の質問:これは正しいことですか?同じホストで2つのDNS TXTエントリを使用できますか?または、2番目を追加するように求められたときに最初の1つを編集する必要がありますか?その後、さらに時間がかかります。

2
stulleman

変更が伝播するのに非常に長い時間がかかる場合、これはどのように機能しますか?

伝播時間(「変更が世界中に知られるまで最大48時間」)は、世界中のさまざまなDNSサーバーmayドメインのレコードを内部キャッシュに保存します。ただし、( ACMEプロトコル に従って)DNS検証を実行する場合、Let’s Encryptは再帰的なネームサーバーを使用しません。ドメインのTXTリソースレコードをチェックするとき、権限のあるネームサーバーに直接クエリを送信します。したがって、遅延はありません。

これは正しいことですか?同じホストで2つのDNS TXTエントリを使用できますか?または、2番目を追加するように求められたときに最初の1つを編集する必要がありますか?その後、さらに時間がかかります。

はい、あなたはこれを正しくやっています。 DNS標準に従って、同じ(サブ)ドメインに対して複数のTXTレコードを持つことは問題ありません。 _acme-challenge.example.comexample.comの両方のX.509証明書を検証するために、Digユーティリティが*.example.comドメインの結果を返す方法の例を次に示します。

$ Dig _acme-challenge.example.com TXT
...
;; ANSWER SECTION:
_acme-challenge.example.com. 3600 IN     TXT     "TXrF987Uc1aEl4TTm7LL76rrN3wba9q6kkTmcNJnjNk"
_acme-challenge.example.com. 3600 IN     TXT     "L3f2m9APvpIlamHHtZ2deRvDdhSPMcMmvPHsvSsln9o"
...
2