Vlákno názorů k článku Certifikáty Let's Encrypt se skriptem Dehydrated od andrej - da sa toto (resp. cely letsencrypt) nejako pouzit...
-
Filip JirsákStříbrný podporovatelOtázka je, proč by nebylo možné ověřit vlastnictví domény přes DNS. Pokud je to normální doména registrovaná kdekoli pod TLD, mělo by být možné ji přes DNS ověřit. Pokud je to nějaká vlastní doména (např. local), zvažte přechod na normální doménu – s těmihle lokálními doménami bude čím dál víc problémů. Už dnes u těchhle domén budete mít problém právě s certifikáty pro HTTPS a s DNSSEC.
-
Filip JirsákStříbrný podporovatel
Neřekl bych, že to přináší problémy – spíš někde může být problém dostat příslušný validační TXT záznam do veřejného DNS serveru. Ale není to neřešitelné. Prostě pak bude zónový soubor veřejného DNS serveru vypadat nějak takhle:
$ORIGIN example.com. @ SOA ns.example.com. hostmaster.exemplecom. (…) @ MX 10 a.smtp.example.com. MX 20 b.smtp.example.com. SPF "…" A a.b.c.d AAAA a:b:c:d::1 www A a.b.c.d AAAA a:b:c:d::1 mail A a.b.c.d AAAA a:b:c:d::1 _acme-challenge TXT "…" _acme-challenge.www TXT "…" _acme-challenge.mail TXT "…" $ORIGIN local.example.com. _acme-challenge.intranet TXT "…" _acme-challenge.www TXT "…" _acme-challenge.ucto TXT "…"Tím máte zvalidované názvy
www.local.example.com,intranet.local.example.comaucto.local.example.com, a kam si je nasměrujete na vnitřním DNS, to už je vaše věc. -
Pripadne si pres https://kb.isc.org/article/AA-00851/0/Understanding-views-in-BIND-9-by-example.html nastavite, ze verejne IP dostavaji jine odpovedi nez znamene IP z vasi site a cele se to da udelat na jednom nameserveru.
Mimochodem kdyz jste startup a tesite se, ze vas nekdo koupi, tak pouziti .local je potom peklo pri integraci tech dvou siti ;)
-
Filip JirsákStříbrný podporovatel
Což ale platí obecně pro používání interní DNS zóny. Interní zóna se používá proto, abyste mohl záznamům z externí zóny změnit adresu nebo abyste mohl přidat nové záznamy, které v té externí zóně nejsou.
-
Palo M. (neregistrovaný)
Tak ako to poisujes (intranetovo) sa "cely letsencrypt" da pouzit asi tak, ze si stiahnes Boulder (serverova cast LE) ktory si nainstalujes na nejaky svoj intranetovy server, kde budes mat svoju vlastnu (intranetovu) certifikacnu autoritu, ktorej certifikat potom rozdistribuujes medzi (intranetovych) klientov tak, aby mu doverovali. No a na intranetovych serveroch budes potom pochopitelne ziadat certifikaty od tej svojej intranetovej certifikacnej autority (a v ramci intranetu to overenie cez HTTP a/lebo DNS mozne je).
Ked nechces vytvarat a udrzovat vlastnu intranetovu certifikacnu autoritu, potom plati co napisal Petr Krcmar.
ČLÁNKY DO MAILU