我终于在给我带来麻烦的 AWS EC2 Linux 实例上安装了 certbot-auto,我正在尝试从 Let's Encrypt 获取通配符证书。
我被告知要以给定的名称(更改为保护无辜者)_acme-challenge.foo.bar.net 建立一个 TXT 记录。
因此,我转到 Route 53 控制台页面,然后选择 bar.net 托管区域。我添加 _acme-challenge.foo.bar.net 记录,指定值,单击“保存记录集”,然后等待几分钟。然后我选择它,然后单击“测试记录集”,Route 53 认为它已发布。
但是当我告诉 certbot-auto 继续,让我们加密查找记录时,它不存在。如果我执行 nslookup -q=txt _acme-challenge.foo.bar.net,我会得到
服务器找不到 _acme-challenge.foo.bar.net
对于 nslookup -q=txt foo.bar.net,我得到
服务器找不到 foo.bar.net
然而,如果我在 foo.bar.net 上进行常规 nslookup,我会找到它。
出了什么问题?
我找到了问题的根源。
在交叉检查 NS 记录中列出的服务器时,我碰巧注意到 TXT 记录上的名称不是(名称仍然更改以保护无辜)
但
我没有注意到 Route 53 控制台的记录集编辑器将托管区域的域名放在用于输入记录集名称的字段的右侧,然后将其附加到您输入的内容中。所以我输入了整个记录名称,因此两次获得“.bar.net”,一次是显式的,一次是隐式的。
创造一个名叫蒙哥马利斯科特的虚构工程师首先说出的短语,