Certbot之仅申请证书、在内网中申请证书、DNS01

最新推荐文章于 2025-10-15 00:18:40 发布
原创 最新推荐文章于 2025-10-15 00:18:40 发布 · 3k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

这篇博客介绍了如何在没有公网服务器或HTTP站点的内网环境中,使用Certbot结合DNS验证来申请Let's Encrypt证书。步骤包括手动执行命令申请证书、添加DNS TXT记录、按下回车完成验证以及手动使用证书。还提到了使用AuthHook和CleanupHook自定义脚本自动化DNS记录的添加和清理,以简化流程。此外,文章讨论了证书的自动续期设置和注意事项。

原文地址:Certbot之仅申请证书、在内网中申请证书、DNS01(永久地址,保存网址不迷路 🙃)

问题描述

在申请证书时,我们按照 Certbot 官方指引,需要公网服务器,并且 HTTP 站点在线(这主要是为了完成 HTTP 质询,以证明域名所有权)。当证书签发结束后,Certbot 程序将修改 Nginx 配置文件以使用新的证书。整个过程一步到位,开箱即用,非常方便。

但是存在特殊场景:我们站点在内网,未对外公开,这样便无法完成 HTTP 质询,就无法进行签发证书;我们的 Web server 未受到 Certbot 的支持,因此无法自动修改配置文件,需要我们仅申请证书,然后自行修改配置文件。总之,这些特殊场景的存在,需要我们仅申请证书,而不能使用 Certbot 的自动化配置。

该笔记将记录:在 Certbot 中,仅申请证书的方法,以及相关问题的处理、解决方案。

解决办法

除了 HTTP 质询,我们还能使用 DNS 质询方法:
1)在申请证书时,根据要求添加 DNS 记录;
2)然后 Let's Encrypt(ACME Server)检查该记录,以验证域名的所有权;
3)在检查通过后,进行证书签发,并自动保存在服务器中;
4)最后,我们修改 Web server 配置,以使用该证书文件;

第一步、开始申请证书

执行如下命令开始申请证书,按照提示操作即可:

certbot certonly --manual --preferred-challenges dns -d example.com

第二步、添加解析记录

当命令执行中,会收到类似如下提示,要求添加 TXT 解析记录:

Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

667drNmQL3vX6bu8YZlgy0wKNBlCny8yrjF1lSaUndc

Once this is deployed,
Press ENTER to continue

根据上面提示,登录云商后台(比如阿里云、腾讯云等等),添加名为 _acme-challenge.example.comTXT 记录,并使用 667drNmQL3vX6bu8YZlgy0wKNBlCny8yrjF1lSaUndc 作为记录值。

注意事项:
1)由于 DNS 记录不会马上生效,所以稍后再按回车键。
2)使用 dig +short -t txt _acme-chall

最低0.47元/天 解锁文章
k4nzdroid
关注
Let’s Encrypt SSL通配符证书永久免费获取与部署详解
在技术的广袤天地里,本博客如精准罗盘。剖析前沿科技,深掘代码奥秘,以精炼笔触,带您穿越复杂技术迷宫,速达知识彼岸。
10-03 3094
本文详细介绍了如何通过Let's Encrypt免费获取通配符SSL证书,解决传统商业证书费用高、流程复杂的问题。文章从准备工作开始,指导读者获取Certbot Docker镜像,并详细讲解了内环境下的证书生成流程,包括DNS解析记录的配置与验证。在成功获取证书后,还提供了Nginx部署和Spring Cloud Gateway证书格式转换的实用技巧。虽然Let's Encrypt证书有效期为3个月,但通过定期手动更新或自动化脚本,可以实现永久免费使用。这套方案特别适合拥有多个子域名的个人开发者和小型企业
centos6.9或centos7.5下nginx或Apache申请Let's Encrypt永久免费SSL证书攻略(实现https效果)
夫君子之行,静以修身,俭以养德,非淡泊无以明志,非宁静无以致远.
08-19 1285
Let's Encrypt简介 Let's Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla、Cisco、Akamai、IdenTrust、EFF等组织人员发起,主要的目的也是为了推进站从HTTP向HTTPS过度的进程,目前已经有越来越多的商家加入和赞助支持。 Let's Encrypt免费SSL证书的出现,也会对传统提供付费SSL证书服务的商家有不小...
certbot-dns-aliyun:certbot dns插件,可使用阿里云获取证书
05-04
适用于Certbot的Aliyun DNS Authenticator插件 certbot dns插件,用于使用阿里云获取证书。 获取阿里云RAM AccessKey 并确保您的RAM帐户具有AliyunDNSFullAccess权限。 安装 pip install certbot-dns-aliyun 对于快照: sudo snap install certbot-dns-aliyun sudo snap set certbot trust-plugin-with-root=ok sudo snap connect certbot:plugin certbot-dns-aliyun /snap/bin/certbot plugins 或手动: git clone https://github.com/tengattack/certbot-dns-aliyun cd certbo
certbot-external-auth:Certbot外部DNS,HTTP,TLSSNI域验证插件,带有JSON输出和可编写脚本的钩子,具有脱水兼容性
02-03
Certbot的外部身份验证器 自动化-letencrypt的主要目标是使证书管理更加轻松。 在大多数情况下,它都像这样工作,但每个用户都必须处理自己的络配置(NAT,防火墙,DNS,代理等)。 我们用于验证域控制的机制越多,lettencrypt的使用就越容易。 letencrypt带来的最大麻烦是域控制的验证,因为它要求您的服务器与letencrypt服务器对话并响应所提供的挑战(更改DNS记录或将文件添加到某些位置)。 此过程是必要的,因为它可以防止随机的人获得您自己域的证书。 此插件有助于域验证过程。 它提供三种模式: JSON模式-其输出为JSON格式,可以由certbot
Certbot挑战类型全解析:HTTP-01DNS-01与TLS-ALPN-01的应用场景
最新发布
gitblog_01049的博客
10-15 824
Certbot作为Let's Encrypt的官方客户端,支持多种ACME(Automated Certificate Management Environment,自动化证书管理环境)挑战类型,用于验证域名所有权。这些挑战类型各有特点,适用于不同的服务器环境和安全需求。官方文档详细说明了挑战的基本概念和验证流程[certbot/docs/challenges.rst](https://link....
docker-certbot-dnspod 使用 Docker 申请、续期免费证书
程序员 lukachen 记录工作日常与经验输出
10-18 971
Certbot 客户端使用 Docker 从 Let's Encrypt 免费申请、续期证书,以 DnspodDNS 解析验证,官方未提供 Dnspod 验证插件,自己写个 Dockerfile 拼轮子实现。
certbot-dns-hetzner:Certbot插件在Hetzner DNS API上启用dns-01挑战
04-15
Hetzner DNS Authenticator certbot插件 此certbot插件通过使用Hetzner DNS API创建并随后删除TXT记录来自动完成dns-01挑战的过程。 安装 通过pip在安装certbot的同一python环境中安装此软件包。 pip install certbot-dns-hetzner 用法 要开始对Hetzner DNS API使用DNS身份验证,请在certbot的命令行上传递以下参数: 选项 描述 --authenticator dns-hetzner 选择身份验证器插件(必填) --dns-hetzner-credentials Hetzner DNS API凭证INI文件。 (必需的) --dns-hetzner-propagation-seconds 等待TXT记录传播的秒数 证书 在的hetzner DNS控制面板中,
Certbot- 在内申请证书的方法 @20210225
k4nz
02-25 1921
问题描述 在申请证书时,按照 Certbot 官方指引,需要公服务器并且需要 HTTP 站点在线。这主要是为了完成质询,以证明域名所有权。 可是有时我们并没有公服务器,更没有对外站点,我们希望在内测试环境中能够使用 HTTPS 证书,那我们应该如何申请证书呢? 解决办法 可以使用 DNS 质询方法…………在申请证书时,选择DNS质询,申请过程中会提示你添加域名解析。 第一步、开始申请证书 执行如下命令开始申请证书,按照提示操作即可: certbot certonly --manua.
阿里云DNS通配符证书自动续期解决方案
资源摘要信息:"阿里云DNSCertbot插件是一个专门用于解决阿里云DNS在自动化更新通配符证书方面问题的工具。该插件的主要功能是使得Certbot这个流行的开源证书自动化工具能够与阿里云DNS服务进行交互,从而实现了对...
使用Certbot 生成 https 证书
Jack huang的专栏
02-12 5684
1.下载certbot项目 # git clone https://github.com/certbot/certbot.git # cd certbot/ # chmod a+x ./certbot-auto   2.生成一个或多个单域名证书,事先要确保80、443端口可以通,并且没有被占用,最后域名有解析并且解析到当前服务器 # ./certbot-auto certonly --...
透過Certbot為Apache網站更新憑證 - HTTP-01 考驗
keineahnung2345的博客
10-13 6778
之前寫過一篇透過Certbot為Apache網站申請憑證,本篇記錄更新憑證時所踩過的坑及解決方式。
kubernetes中cert-manager使用DNS-01方式生成https证书(阿里云)
null
04-26 4714
说明 使用官方阿里云dns插件:https://github.com/pragkent/alidns-webhook 也可以使用其他开发者使用的:https://gitee.com/StephenEvenson/cert-manager-alidns-webhook?_from=gitee_search dns-01方式支持泛域名解析https证书 查看cert-manager支持的DNS厂商:https://cert-manager.io/docs/configuration/acme/dns01/
certbot申请SSL证书及中间证书问题
weixin_34335458的博客
07-20 657
首先是到https://certbot.eff.org/上申请证书,由于我们使用的web服务器是基于erlang的cowboy的,在主页上没有选项可以支持,因此在Software下拉项中选择"None of the Above",操作系统用的是ubuntu16.04,因此在System下拉项中选择"Ubuntu 16.04(Xenial)"。 按照其操作安装certbot结束后输...
使用 let's encrypt certbot部署https
Anteoy的博客
01-14 1806
前言 let’s encrypt 是免费的ssl/tls 证书颁发的机构,致力于实现整个Web的TLS/SSL认证。https可降低站被劫持的风险,并具有更好的加密性能,避免用户信息泄露,增强站的安全性。 准备 已解析正确的域名 www.anteoy.site A记录所指向的服务器 nginx 环境 GCE ubuntu16.04 let’s encrypt认证
kubernetes中cert-manager使用DNS-01方式生成https证书(腾讯云)
null
04-12 3334
说明 国内的DNS-01方式生成证书需要使用cert-manager的插件,因为cert-manager不支持国内的DNS厂商 本文使用的域名在腾讯云:dnspod dns-01方式支持泛域名解析https证书 查看支持的DNS厂商:https://cert-manager.io/docs/configuration/acme/dns01/ 由于 cert-manager-webhook-dnspod 很久没有继续维护,chart 包已不兼容最新的 cert-manager 。本文内容中使用的 cert-
使用docker+nginx+certbot获取和更新免费的ssl证书
wyhhQAQ的博客
12-05 2897
docker+nginx+certbot获取和更新免费的ssl证书
使用Certbot申请Lets Encrypt证书
ronshi的博客
01-29 2168
使用Certbot申请Lets Encrypt证书
Let‘s Encrypt免费安全证书的步骤及使用-基于centos9, 包括工具certbot安装及使用,获取apache、nginx、iis等服务器安全证书
热门推荐
zrc_xiaoguo的博客
12-07 1万+
Certbot 是一个由 Electronic Frontier Foundation(EFF)支持的免费、开源的工具,用于自动化获取、部署和更新 HTTPS 证书。它是为了方便使用 Let's Encrypt 服务而开发的,允许用户在 Web 服务器上快速设置 SSL/TLS 加密连接。
安全之注册和查看证书
weixin_45910629的博客
05-30 1348
如图所示,是 Will Schroeder 和 Lee Christensen 发布的 Certified_Pre-Owned 白皮书里面画的证书注册流程: 从图中我们可以看到,证书注册流程如下:不同模板的证书具有不同的权限,查看证书模板的安全属性,可以看到不同主体对其具有的权限。比如完全控制权限、读取权限、写入权限、注册权限等。 如下是计算机证书模板的属性,可以看到域内所有机器都对其具有注册权限。 如下是用户证书模板的属性,可以看到域内所有用户都对其具有注册权限。 客户端可以根据ADCS环境的配置选择
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值