Vlákno názorů k článku Nástroj acme-dns: pohodlné získávání certifikátu pomocí DNS od czechsys - 2 zaznamy pro kazdou zonu, to je pro...

2 zaznamy pro kazdou zonu, to je pro mne v kontrastu "snazi delat dobre"

Ale pro jednoduchy veci to asi bude dostacujici. Pro HA sluzby je to stale nedostatecne reseni.

Z meho pohledu jsou certifikaty peklo.

To jsem taky moc nepochopil.. Kdyz budu mit 50 domen a chci pouzivat jednu registraci (=jeden CNAME) pro vsechny, tak se to asi bude vzajemne clashovat co?

Zkusil jsem to ověřit a máte pravdu, současné acme.sh si v kombinaci s acme-dns to nedokáže. acme.sh totiž nejprve vytvoří všechny TXT záznamy a čeká, až se vypropagují. A protože acme.sh nejspíš neumí použít více než jeden acme-dns server, a zároveň je v acme-dns limit na 2 TXT záznamy, tak si acme-dns záznamy přepíše.

Pro cert-manager by mělo stačit použít spoustu malých zón v acme-dns. Nicméně to jsem už nevydržel ověřovat až do konce.

Tohle chování se nám v produkci neprojevilo, protože většinou generujeme oddělené certifikáty pro několik málo common names najednou. Přestože jsou všechny certifikáty pro jednoho zákazníka směřované do jedné zástupné zóny v acme-dns, tak se potom ověřují postupně a na problém s přepisování TXT záznamů jsme nenarazili.

Díky za upřesnění.

Pro HA služby asi není dobrý nápad vyměňovat všechny certifikáty najednou. Takže bych neviděl problém ani s těmi dvěma záznamy. Ale chápu to tak, že jde o řešení pro malé věci. Pokud provozujete HA, asi budete umět vyřešit i získávání certifikátů.

Zprovoznit HA pres obycejnou haproxy apod je mnohem mnohem jednodussi, nez vyresit deploy acme certifikatu na haproxy/backendy, specialne u push metody.

To asi nebude ten problem... Jde o to, ze muzete mit certifikat ve kterem je 10 ruznych altnamu s hvezdickama...

Pro 10 různých jmen ale budu mít 10 různých DNS záznamů.

ano. to znamena 10 ruznych loginu do acme-dns i kdyz vsechny patri jednomu zakaznikovi... fakt super zabava udrzovat kazdymu zakaznikovi nekde sezna vsech tech loginu (pokud certbot vubec umi pouzivat vic loginu v ramci jednoho certifikatu s altnames).

acme.sh ale bere pouze jedno přihlášení do acme-dns, takže všech 10 domén dělá pod stejnými TXT záznamy...