Como usar a validação do desafio Let's Encrypt DNS?

Atualmente é possível realizar a validação de DNS, também com o cliente certbot LetsEncrypt em modo manual. A automação também é possível (veja abaixo).

Plug-in manual

Você pode realizar uma verificação manual - com o plug-in manual.

certbot -d bristol3.pki.enigmabridge.com --manual --preferred-challenges dns certonly

O Certbot fornecerá instruções para atualizar manualmente um registro TXT para o domínio para prosseguir com a validação.

Please deploy a DNS TXT record under the name
_acme-challenge.bristol3.pki.enigmabridge.com with the following value:

667drNmQL3vX6bu8YZlgy0wKNBlCny8yrjF1lSaUndc

Once this is deployed,
Press ENTER to continue

Depois de atualizar o registro DNS, pressione Enter, o certbot continuará e, se a LetsEncrypt CA verificar o desafio, o certificado será emitido normalmente.

Você também pode usar um comando com mais opções para minimizar a interatividade e responder a perguntas do certbot. Observe que o plug-in manual ainda não suporta o modo não interativo.

certbot --text --agree-tos --email [email protected] -d bristol3.pki.enigmabridge.com --manual --preferred-challenges dns --expand --renew-by-default  --manual-public-ip-logging-ok certonly

A renovação não funciona com o plug-in manual, pois é executado no modo não interativo. Mais informações na documentação oficial do certbot .

Atualização: ganchos manuais

Na nova versão do certbot você pode usar hooks , por exemplo, --manual-auth-hook, --manual-cleanup-hook. Os ganchos são scripts externos executados pelo certbot para realizar a tarefa.

As informações são passadas em variáveis ​​de ambiente - por exemplo, domínio para validar, token de desafio. Vars: CERTBOT_DOMAIN, CERTBOT_VALIDATION, CERTBOT_TOKEN.

certbot certonly --manual --preferred-challenges=dns --manual-auth-hook /path/to/dns/authenticator.sh --manual-cleanup-hook /path/to/dns/cleanup.sh -d secure.example.com

Você pode escrever seu próprio manipulador ou usar os já existentes. Há muitos disponíveis, por exemplo, para DNS da Cloudflare.

Mais informações sobre a documentação oficial dos ganchos do certbot .

Automação, renovação, script

Se você deseja automatizar a validação de desafio de DNS, atualmente não é possível com o certbot vanilla. Atualização: alguma automação é possível com os ganchos do certbot.

Assim, criamos um plugin simples que suporta scripts com automação de DNS. Está disponível como certbot-external-auth .

pip install certbot-external-auth

Ele suporta os métodos de validação DNS, HTTP, TLS-SNI. Você pode usá-lo no modo de manipulador ou no modo de saída JSON.

Modo de manipulador

No modo manipulador, o certbot + plugin chama ganchos externos (um programa, shell script, Python, ...) para realizar a validação e instalação. Na prática, você escreve um script simples de manipulador/shell que obtém os argumentos de entrada - domínio, token e faz a alteração no DNS. Quando o manipulador termina, o certbot prossegue com a validação normalmente.

Isso lhe dá flexibilidade extra, a renovação também é possível.

O modo manipulador também é compatível com ganchos DNS desidratados (antigo letsencrypt.sh). Já existem muitos ganchos de DNS para provedores comuns (por exemplo, CloudFlare, GoDaddy, AWS). No repositório há um README com exemplos extensos e manipuladores de exemplos.

Exemplo com gancho DNS desidratado :

certbot \
    --text --agree-tos --email [email protected] \
    --expand --renew-by-default \
    --configurator certbot-external-auth:out \
    --certbot-external-auth:out-public-ip-logging-ok \
    -d "bristol3.pki.enigmabridge.com" \
    --preferred-challenges dns \
    --certbot-external-auth:out-handler ./dehydrated-example.sh \
    --certbot-external-auth:out-dehydrated-dns \
    run 

Modo JSON

Outro modo de plug-in é o modo JSON. Ele produz um objeto JSON por linha. Isso permite uma integração mais complicada - por exemplo, quando o Ansible ou algum gerenciador de implantação está chamando o certbot. A comunicação é realizada via STDOUT e STDIN. O Cerbot produz objetos JSON com dados para realizar a validação, por exemplo:

certbot \
    --text --agree-tos --email [email protected] \
    --expand --renew-by-default \
    --configurator certbot-external-auth:out \
    --certbot-external-auth:out-public-ip-logging-ok \
    -d "bristol3.pki.enigmabridge.com" \
    --preferred-challenges dns \
    certonly 2>/dev/null

{"cmd": "perform_challenge", "type": "dns-01", "domain": "bs3.pki.enigmabridge.com", "token": "3gJ87yANDpmuuKVL2ktfQ0_qURQ3mN0IfqgbTU_AGS4", "validation": "ejEDZXYEeYHUxqBAiX4csh8GKkeVX7utK6BBOBshZ1Y", "txt_domain": "_acme-challenge.bs3.pki.enigmabridge.com", "key_auth": "3gJ87yANDpmuuKVL2ktfQ0_qURQ3mN0IfqgbTU_AGS4.tRQM98JsABZRm5-NiotcgD212RAUPPbyeDP30Ob_7-0"}

Depois que o DNS é atualizado, o chamador envia o caractere de nova linha para STDIN do certbot para sinalizar que ele pode continuar com a validação.

Isso permite automação e gerenciamento de certificados a partir do servidor de gerenciamento central. Para instalação, você pode implantar certificados por SSH.

Para obter mais informações, consulte o leiame e exemplos no GitHub certbot-external-auth .

EDIT: Há também uma nova postagem no blog descrevendo o problema de validação de DNS e o uso do plug-in.

EDIT: No momento, trabalhamos na validação em duas etapas do Ansible, que será desativada em breve.

Consegui usar o dehydratedcliente para obter um certificado usando a validação de DNS.

https://github.com/lukas2511/dehydrated

./dehydrated --cron --domain my.domain.example.com --hook ./hook.route53.rb --challenge dns-01

Você precisará usar o gancho de validação de DNS correto para seu domínio, mas há algumas opções disponíveis como exemplos:

https://github.com/lukas2511/dehydrated/wiki/Examples-for-DNS-01-hooks

A partir de hoje, o cliente oficial não suporta o tipo de desafio DNS-01 (ainda).

Veja https://community.letsencrypt.org/t/status-of-official-letsencrypt-clients-dns-01-challenge-support/9427

Eu não olhei para isso, então eu realmente não sei. Meu entendimento de alto nível era apenas "ainda não há suporte em nosso cliente Python para o desafio DNS".

Você pode acompanhar o andamento neste PR . Alternativamente, existem alguns clientes que já o suportam.

Eu escrevi um script de gancho para o cliente letsencrypt.sh que permite que você use a verificação Lets Encrypt DNS para provedores de DNS que não fornecem uma API para usar (também conhecido como entrada e verificação manuais são necessárias).

Você pode conferir aqui: https://github.com/jbjonesjr/letsencrypt-manual-hook

Conforme mencionado nas respostas anteriores, você pode facilmente verificar um domínio por DNS com isso:

1. instale os aplicativos necessários (no Ubuntu): apt-get install -y git ruby letsencrypt git clone https://github.com/lukas2511/dehydrated.git git clone https://github.com/jbjonesjr/letsencrypt-manual-hook.git dehydrated/hooks/manual
2. gere certificado com confirmação de desafio de DNS manual para www.example.com (substitua por seu domínio): ./dehydrated/dehydrated -c -t dns-01 -d www.example.com -k ./dehydrated/hooks /manual/manual_hook.rb

Depois de tentar diferentes combinações, foi isso que funcionou para mim usando os repositórios git desidratados e letsencrypt-manual-hook . Se as etapas abaixo funcionarem para você, não se esqueça de marcar com estrela esses repositórios

NOTA: Isso é um acréscimo às respostas de panticz.de e alexcline

~$ git clone https://github.com/lukas2511/dehydrated.git
~$ git clone https://github.com/jbjonesjr/letsencrypt-manual-hook.git dehydrated/hooks/manual
~$ cd dehydrated
~$ ./dehydrated --register --accept-terms
~$ ./dehydrated --cron --challenge dns-01 --domain your.domain.com --hook ./hooks/manual/manual_hook.rb
#
# !! WARNING !! No main config file found, using default config!
#
Processing your.domain.com
 + Signing domains...
 + Creating new directory /Users/vikas/dehydrated/certs/your.domain.com ...
 + Creating chain cache directory /Users/vikas/dehydrated/chains
 + Generating private key...
 + Generating signing request...
 + Requesting authorization for your.domain.com...
 + 1 pending challenge(s)
 + Deploying challenge tokens...
Checking for pre-existing TXT record for the domain: '_acme-challenge.your.domain.com'.
Create TXT record for the domain: '_acme-challenge.your.domain.com'. TXT record:
'gkIxxxxxxxIcAESmjF8pjZGQrrZxxxxxxxxxxx'
Press enter when DNS has been updated...

Você receberá um hash (depois de executar o comando acima), crie um registro TXT em seu DNS. Certifique-se de que funciona executando o comando abaixo ou o GSuite Toolbox

~$ dig TXT _acme-challenge.your.domain.com. +short @8.8.8.8
"gkIxxxxxxxIcAESmjF8pjZGQrrZxxxxxxxxxxx"
~$

Agora, pressione enter no prompt. Isso não funcionou para mim, embora o registro TXT tenha sido atualizado. Eu tive que pressionar Ctrl + C e executar o comando novamente.

~$ ./dehydrated --cron --challenge dns-01 --domain your.domain.com --hook ./hooks/manual/manual_hook.rb
#
# !! WARNING !! No main config file found, using default config!
#
Processing your.domain.com
 + Signing domains...
 + Generating private key...
 + Generating signing request...
 + Requesting authorization for your.domain.com...
 + 1 pending challenge(s)
 + Deploying challenge tokens...
Checking for pre-existing TXT record for the domain: '_acme-challenge.your.domain.com'.
Found gkIxxxxxxxIcAESmjF8pjZGQrrZxxxxxxxxxxx. match.
 + Responding to challenge for your.domain.com authorization...
Challenge complete. Leave TXT record in place to allow easier future refreshes.
 + Challenge is valid!
 + Requesting certificate...
 + Checking certificate...
 + Done!
 + Creating fullchain.pem...
 + Walking chain...
 + Done!
~$

Agora, seus certificados públicos e privados estão presentes aqui.

$ ls certs/your.domain.com/privkey.pem certs/your.domain.com/fullchain-1517576424.pem

Para renovar (tempo mínimo de espera é de 30 dias), basta o mesmo comando novamente.

~$ ./dehydrated --cron --challenge dns-01 --domain your.domain.com --hook ./hooks/manual/manual_hook.rb

É muito fácil de realizar ao usar --manual-auth-hooke --manual-cleanup-hookno certbot .

certbot-auto --manual --preferred-challenges dns --manual-auth-hook auth.sh --manual-cleanup-hook cleanup.sh -d your.domain.com -d *.wildcard.domains.com`

onde auth.shseria algo como

#!/bin/sh

KEYFILE=tsig_key_file

nsupdate -k $KEYFILE <<EOT
server ns.some-domain.com
update add _acme-challenge.$CERTBOT_DOMAIN 60 txt $CERTBOT_VALIDATION
send
EOT

# wait a few seconds to let the change take effect
sleep 5

e cleanup.shalgo como

#!/bin/sh

KEYFILE=/opt/certbot-authenticator/tsig

nsupdate -k $KEYFILE<<EOT
server dns-master
update del _acme-challenge.$CERTBOT_DOMAIN
send
EOT

desde que seu servidor DNS esteja configurado corretamente para permitir atualizações dinâmicas de DNS (RFC2136). Usar uma chave TSIG é altamente recomendável, mas se você optar por não usá-la, basta cortar a -k $KEYFILEopção ao invocar nsupdate.

Hugo Landau escreveu um cliente ACME em Go ( https://github.com/hlandau/acme ) que suporta desafios de DNS (com o protocolo nsupdate do BIND). Está funcionando perfeitamente para mim há pelo menos 18 meses.

Talvez com um dos plugins DNS do certbot ?

Esta categoria de plugins automatiza a obtenção de um certificado modificando os registros DNS para provar que você tem controle sobre um domínio. Fazer a validação de domínio dessa maneira é a única maneira de obter certificados curinga da Let's Encrypt.

Para macOS

brew install certbot

sudo certbot certonly --manual --preferred-challenges dns -d "domain.com" -d "www.domain.com"