Método para obtener certificados de dominio genérico en ESA bajo modo CNAME

Tags:

• Tutorial
• Serie De Alibaba Cloud

Categories:

• Tutoriales

El dominio está alojado en Alibaba Cloud DNS o en terceros, no se puede migrar el NS del dominio, pero se necesita un dominio genérico. El ESA de Alibaba Cloud proporciona un límite de 10 certificados, obviamente no es suficiente.

Aquí comparto un método para obtener certificados de dominio genérico, al final explicaré el principio.

Se requieren operaciones en dos interfaces de negocio:

1. ESA
2. Resolución de DNS (o resolución DNS de terceros)

Pasos de operación

1. ESA: DNS -> Configuración: Cambiar al modo de acceso NS, confirmar directamente, no se requieren otras operaciones.
2. ESA: Solicitar certificado de borde gratuito, solicitar solo *.example.com, usando tu propio dominio
3. ESA: Desplegar la lista desplegable del certificado en proceso de solicitud, obtener el registro TXT, registro de host: _acme-challenge.example.com, valor del registro: -PewtWrH93avbM_bScUILtcNwCHifNvjZIa2VgT9seQ
4. Resolución de DNS: Crear registro TXT, ingresar el registro de host y el valor del registro obtenidos en el paso anterior
5. Esperar a obtener el certificado de dominio genérico, si no se obtiene en 10 minutos, indica un error, verifica el error por tu cuenta.
6. ESA: DNS -> Configuración: Cambiar al modo de acceso CNAME, confirmar directamente, no se requieren otras operaciones.

Principio

Todos los certificados gratuitos provienen de letsencrypt, que tiene dos métodos de autenticación:

1. Desafío HTTP-01: El servidor de validación de Let’s Encrypt accederá mediante solicitud HTTP a un archivo específico en tu servidor (ubicado en la ruta .well-known/acme-challenge/), para confirmar tu control sobre el dominio.
2. Desafío DNS-01: Este método requiere agregar un registro TXT en el registro DNS de tu dominio. Al agregar un registro TXT específico en el DNS, puedes demostrar tu control sobre el dominio.

Los certificados de dominio genérico solo pueden obtenerse mediante el Desafío DNS-01, es decir, se necesita configurar un registro DNS. Por lo tanto, ESA exigirá que el dominio esté alojado en la plataforma ESA para solicitar certificados de dominio genérico. El paso “ESA: DNS -> Configuración: Cambiar al modo de acceso NS” en los pasos de operación es una conclusión basada en el análisis de la información de retorno de la interfaz ApplyCertificate de ESA. Este paso no produce ningún efecto real, simplemente sirve para sortear la validación de Alibaba Cloud.

El paso clave es escribir el registro TXT preestablecido en el servidor NS del dominio al solicitar el certificado a letscrypt, ya sea que este servidor provenga de la resolución de DNS o de ESA, puede probar que el dominio pertenece al solicitante.

Resumen

ESA y la resolución de DNS pertenecen ambos a Alibaba Cloud, pero no pueden intercambiar datos. ESA claramente tiene la capacidad de verificar si un dominio pertenece a esta cuenta, y obtener un certificado de dominio genérico solo requiere agregar una regla de resolución en la resolución de DNS y autorizarlo, pero no lo hacen. Hay espacio para mejorar la experiencia.

Es posible que los certificados obtenidos mediante este método no puedan actualizarse, se pueden usar otros métodos para definir la sincronización del certificado a ESA: https://api.aliyun.com/api/ESA/2024-09-10/SetCertificate

• ←Anterior
• Siguiente→