طريقة الحصول على شهادة نطاق واسع لـ ESA في وضع CNAME

Tags:
Categories:

يتم استضافة النطاق في Aliyun DNS أو طرف ثالث، ولا يمكن نقل ns للنطاق، ولكن هناك حاجة إلى نطاق واسع. توفر Aliyun ESA 10 شهادات، من الواضح أن هذا ليس كافيًا.

هنا أشارك طريقة للحصول على شهادة نطاق واسع، وفي النهاية سأوضح المبدأ.

يجب إجراء العمليات في واجهتي عمل:

  1. ESA
  2. Cloud Resolve (أو حل DNS من طرف ثالث)

خطوات التشغيل

  1. ESA: DNS -> الإعداد: التحويل إلى وضع الوصول NS، تأكيد مباشر، لا حاجة لإجراءات أخرى.
  2. ESA: طلب شهادة Edge المجانية، طلب فقط *.example.com، باستخدام نطاقك الخاص
  3. ESA: فتح شريط القائمة المنسدلة للشهادة قيد التقديم، والحصول على سجل txt، سجل المضيف: _acme-challenge.example.com، قيمة السجل: -PewtWrH93avbM_bScUILtcNwCHifNvjZIa2VgT9seQ
  4. Cloud Resolve: إنشاء سجل TXT، وإدخال سجل المضيف وقيمة السجل من الخطوة السابقة
  5. الانتظار للحصول على شهادة النطاق الواسع، إذا لم يتم الحصول عليها خلال عشر دقائق، فهذا يعني وجود خطأ، قم بالتحقق من الخطأ بنفسك.
  6. ESA: DNS -> الإعداد: التحويل إلى وضع الوصول CNAME، تأكيد مباشر، لا حاجة لإجراءات أخرى.

المبدأ

تأتي جميع الشهادات المجانية من letsencrypt، وهناك طريقتان للتحقق:

  1. HTTP-01 Challenge، تقوم خوادم التحقق من Let’s Encrypt بزيارة ملف معين على خادمك عبر طلب HTTP (في مسار .well-known/acme-challenge/) للتحقق من سيطرتك على النطاق.
  2. DNS-01 Challenge: تتطلب هذه الطريقة إضافة سجل TXT إلى سجل DNS للنطاق الخاص بك. من خلال إضافة سجل TXT محدد في DNS، يمكنك إثبات سيطرتك على هذا النطاق.

يمكن الحصول على شهادات النطاق الواسع فقط من خلال DNS-01 Challenge، أي أننا نحتاج إلى تكوين سجل DNS. لذلك تتطلب ESA استضافة النطاق على منصة ESA للحصول على شهادة النطاق الواسع. في خطوات التشغيل، “ESA: DNS -> الإعداد: التحويل إلى وضع الوصول NS” هو استنتاج تم التوصل إليه من خلال تحليل معلومات الإرجاع من واجهة ESA ApplyCertificate. هذه الخطوة لا تؤدي إلى أي تأثير عملي، بل فقط للالتفاف على التحقق من Aliyun.

الخطوة الأساسية هي عند تقديم طلب للحصول على شهادة من letscrypt، كتابة سجل TXT المخطط له مسبقًا إلى خادم ns للنطاق. سواء كان هذا الخادم من Cloud Resolve أو ESA، يمكن إثبات أن النطاق ينتمي إليك.

ملخص

ESA وCloud Resolve كلاهما تابعان لـ Aliyun، ولكن لا يمكنهما مشاركة البيانات. ESA لديها بالفعل القدرة على التحقق مما إذا كان النطاق ينتمي إلى هذا الحساب، والحصول على شهادة النطاق الواسع يتطلب فقط إضافة قاعدة تحليل واحدة في Cloud Resolve، ويمكن التفويض، ولكن لم يتم ذلك. لا يزال هناك مجال للتحسين في تجربة المستخدم.

قد لا يمكن تحديث الشهادة المكتسبة بهذه الطريقة، ويمكن استخدام طرق أخرى لتحديد مزامنة الشهادة إلى ESA: https://api.aliyun.com/api/ESA/2024-09-10/SetCertificate