Metodo per ottenere certificati wildcard con ESA in modalità CNAME

Tags:
Categories:

Il dominio è ospitato su Alibaba Cloud DNS o su terze parti, non è possibile trasferire il NS del dominio, ma è necessario un wildcard. Alibaba Cloud ESA fornisce una quota di 10 certificati, ovviamente insufficiente.

Qui condivido un metodo per ottenere certificati wildcard e alla fine spiegherò il principio.

È necessario operare in due interfacce aziendali:

  1. ESA
  2. Risoluzione DNS (o risoluzione DNS di terze parti)

Passaggi operativi

  1. ESA: DNS -> Impostazioni: Convertire in modalità di accesso NS, confermare direttamente, nessuna altra operazione necessaria.
  2. ESA: Richiedere un certificato edge gratuito, richiedere solo *.example.com, utilizzare il proprio dominio
  3. ESA: Aprire la barra a discesa del certificato in fase di richiesta, ottenere il record txt, record host:_acme-challenge.example.com, valore record-PewtWrH93avbM_bScUILtcNwCHifNvjZIa2VgT9seQ
  4. Risoluzione DNS: Creare un record TXT, inserire il record host e il valore record ottenuti nel passaggio precedente
  5. Attendere di ottenere il certificato wildcard, se non ottenuto entro dieci minuti, indica un errore, controllare autonomamente l’errore.
  6. ESA: DNS -> Impostazioni: Convertire in modalità di accesso CNAME, confermare direttamente, nessuna altra operazione necessaria.

Principio

I certificati gratuiti provengono tutti da letsencrypt, che ha due metodi di autenticazione:

  1. Sfida HTTP-01: Il server di verifica di Let’s Encrypt accederà tramite richiesta HTTP a un file specifico sul tuo server (situato nel percorso .well-known/acme-challenge/), per confermare il tuo controllo sul dominio.
  2. Sfida DNS-01: Questo metodo richiede di aggiungere un record TXT specifico ai record DNS del tuo dominio. Aggiungendo un record TXT specifico al DNS, puoi dimostrare di avere il controllo su quel dominio.

I certificati wildcard possono essere ottenuti solo tramite la Sfida DNS-01, ovvero è necessario configurare i record DNS. Pertanto ESA richiede che il dominio sia ospitato sulla piattaforma ESA per richiedere certificati wildcard. Nel passaggio operativo “ESA: DNS -> Impostazioni: Convertire in modalità di accesso NS” è una conclusione ottenuta analizzando le informazioni restituite dall’interfaccia ESA ApplyCertificate, questo passaggio non ha alcun effetto reale, serve solo per aggirare la verifica di Alibaba Cloud.

Il passaggio fondamentale è aggiungere il record TXT prestabilito ai server NS del dominio quando si richiede il certificato a letscrypt, indipendentemente dal fatto che provengano dalla risoluzione cloud o da ESA, è possibile dimostrare che il dominio appartiene a te.

Sintesi

Sia ESA che la risoluzione cloud appartengono ad Alibaba Cloud, ma non possono condividere i dati. ESA ha chiaramente la capacità di verificare se il dominio appartiene a questo account. Ottenere un certificato wildcard richiede solo l’aggiunta di una regola di risoluzione nella risoluzione cloud e una autorizzazione, ma non è stato fatto. L’esperienza può ancora essere migliorata.

I certificati ottenuti con questo metodo potrebbero non essere aggiornabili, è possibile utilizzare altri metodi per definire la sincronizzazione del certificato su ESA: https://api.aliyun.com/api/ESA/2024-09-10/SetCertificate