طريقة الحصول على شهادة نطاق واسع باستخدام ESA في وضع CNAME

Tags:
Categories:

استضافة النطاق في Aliyun DNS أو طرف ثالث، لا يمكن نقل سجلات NS للنطاق، ولكن هناك حاجة إلى نطاق واسع. توفر Aliyun ESA سعة 10 شهادات، من الواضح أنها غير كافية.

هنا نشارك طريقة للحصول على شهادة نطاق واسع، وسوف نوضح المبدأ في النهاية.

يجب إجراء العمليات على واجهتي عمل:

  1. ESA
  2. Cloud Resolution (أو DNS Resolution الطرف الثالث)

خطوات التشغيل

  1. ESA: DNS -> الإعدادات: التحويل إلى وضع إدخال NS، التأكيد مباشرةً، لا حاجة لإجراءات أخرى.
  2. ESA: طلب شهادة Edge مجانية، فقط طلب*.example.com، باستخدام نطاقك الخاص
  3. ESA: انقر على السحب لأسفل للشهادة قيد التقديم، احصل على سجل TXT، سجل المضيف:_acme-challenge.example.com، قيمة السجل-PewtWrH93avbM_bScUILtcNwCHifNvjZIa2VgT9seQ
  4. Cloud Resolution: إنشاء سجل TXT، أدخل سجل المضيف وقيمة السجل من الخطوة السابقة
  5. انتظر الحصول على شهادة النطاق الواسع، إذا لم تحصل عليها في غضون عشر دقائق، فهذا يعني وجود خطأ، يرجى التحقق من الخطأ بنفسك.
  6. ESA: DNS -> الإعدادات: التحويل إلى وضع إدخال CNAME، التأكيد مباشرةً، لا حاجة لإجراءات أخرى.

المبدأ

جميع الشهادات المجانية تأتي من letsencrypt، وهناك طريقتان للتحقق:

  1. HTTP-01 Challenge: يقوم خادم التحقق من Let’s Encrypt بزيارة ملف معين على خادمك عبر HTTP (موجود في المسار.well-known/acme-challenge/)، للتحقق من سيطرتك على النطاق.
  2. DNS-01 Challenge: تتطلب هذه الطريقة إضافة سجل TXT إلى سجلات DNS لنطاقك. من خلال إضافة سجل TXT محدد إلى DNS، يمكنك إثبات سيطرتك على النطاق.

يمكن الحصول على شهادة النطاق الواسع فقط من خلال DNS-01 Challenge، أي يجب تكوين سجلات DNS. لذلك، ستطلب ESA استضافة النطاق على منصة ESA للحصول على شهادة نطاق واسع. في خطوات التشغيل، “ESA: DNS -> الإعدادات: التحويل إلى وضع إدخال NS” هو استنتاج تم الحصول عليه من خلال تحليل معلومات الإرجاع للواجهة ESA ApplyCertificate، هذه الخطوة لا تؤدي إلى أي وظيفة فعلية، بل مجرد التغلب على التحقق من Aliyun.

الخطوة الأساسية هي كتابة سجل TXT المحدد مسبقًا إلى خادم NS للنطاق عند التقدم بطلب للحصول على شهادة من letscrypt، سواء كان هذا الخادم من Cloud Resolution أو ESA، يمكنه إثبات أن النطاق يخصك.

ملخص

ESA و Cloud Resolution كلاهما ينتميان إلى Aliyun، لكن لا يمكن تبادل البيانات بينهما. ESA لديها بالفعل القدرة على التحقق مما إذا كان النطاق ينتمي إلى هذا الحساب، والحصول على شهادة نطاق واسع يتطلب فقط إضافة قاعدة تحليل إلى Cloud Resolution، وتفويض يمكنه ذلك، ولكن لم يتم تنفيذه. لا يزال هناك مجال للتحسين في تجربة المستخدم.

قد لا يمكن تحديث الشهادة التي تم الحصول عليها بهذه الطريقة، ويمكن استخدام طرق أخرى لتعريف مزامنة الشهادة إلى ESA: https://api.aliyun.com/api/ESA/2024-09-10/SetCertificate