У меня есть частный сервер Apache, доступный только из моей локальной сети через порт 443, с сертификатом StartSSL.
Поскольку Firefox 51 был выпущен, я больше не могу подключаться к нему, так как корневой сертификат StartSSL был удален из доверенного хранилища.
Я рассматривал возможность перехода на Let's Encrypt, но для этого, похоже, требуется общедоступный HTTP-сервер. Можно ли использовать Let's Encrypt в моей ситуации?
Я бы предпочел не платить за SSL-сертификат, если это вообще возможно.
Если вы управляете DNS для домена, вы можете использовать метод запроса dns-01, чтобы подтвердить право собственности, создав TXT-запись.
Это можно сделать вручную или автоматически. Я думаю, что даже официальный клиент certbot теперь поддерживает dns-01.
Быстрый поиск в Google показывает мне несколько руководств с использованием различных скриптов и клиентов, поэтому я не буду повторять их здесь. Вот этот в частности автоматизирует сертификаты интрасети.
Клиент certbot может вручную выполнить запрос DNS. Ответ на этот вопрос (второй по популярности в настоящее время) Как использовать проверку запросов Let's Encrypt DNS? есть все детали, и я только что проверил, как работает.
По сути, вы запускаете эту команду и следуете инструкциям:
certbot -d site.your.dom.ain --manual --preferred-challenges dns certonly
Вы упомянули, что используете Apache, однако, если вы не привязаны к нему, существует очень простой путь, используя Caddyserver.
Здесь вам нужно только определить Caddyfile со следующим содержанием:
example.com
tls {
dns cloudflare
}
Упомяните поставщика DNS, которого вы используете в конфигурации, и настройте ключи API, которые вы используете, с помощью переменных среды. Нарисуйте из списка поддерживаемых провайдеров из документы.
Это все, что требуется. Результат при первом запуске будет примерно таким:
Activating privacy features... 2019/10/21 13:36:48 [INFO][cache:0xc0001c8190] Started certificate maintenance routine
[INFO][cache:0xc000092730] Started certificate maintenance routine
2019/10/21 13:24:49 [INFO][example.com] Obtain certificate
2019/10/21 13:24:49 [INFO] [example.com] acme: Obtaining bundled SAN certificate
2019/10/21 13:24:50 [INFO] [example.com] AuthURL: https://acme-v02.api.letsencrypt.org/acme/authz-v3/876706285
2019/10/21 13:24:50 [INFO] [example.com] acme: Could not find solver for: tls-alpn-01
2019/10/21 13:24:50 [INFO] [example.com] acme: Could not find solver for: http-01
2019/10/21 13:24:50 [INFO] [example.com] acme: use dns-01 solver
2019/10/21 13:24:50 [INFO] [example.com] acme: Preparing to solve DNS-01
2019/10/21 13:24:50 [INFO] cloudflare: new record for example.com, ID XXX
2019/10/21 13:24:50 [INFO] [example.com] acme: Trying to solve DNS-01
2019/10/21 13:24:50 [INFO] [example.com] acme: Checking DNS record propagation using [127.0.0.11:53]
2019/10/21 13:24:50 [INFO] Wait for propagation [timeout: 2m0s, interval: 2s]
2019/10/21 13:24:50 [INFO] [example.com] acme: Waiting for DNS record propagation.
2019/10/21 13:24:52 [INFO] [example.com] acme: Waiting for DNS record propagation.
2019/10/21 13:24:55 [INFO] [example.com] The server validated our request
2019/10/21 13:24:55 [INFO] [example.com] acme: Cleaning DNS-01 challenge
2019/10/21 13:24:55 [INFO] [example.com] acme: Validations succeeded; requesting certificates
2019/10/21 13:24:56 [INFO] [example.com] Server responded with a certificate.
done.
Serving HTTPS on port 443
https://example.com
2019/10/21 13:36:48 [INFO] Serving https://example.com
Serving HTTP on port 80
http://example.com
2019/10/21 13:36:48 [INFO] Serving http://example.com