1

我正在使用来自https://github.com/Lone-Coder/letsencrypt-win-simple的 Let's Encrypt IIS 客户端为服务器生成证书。由于证书只有三个月的有效期,我希望它能够自动更新。

但是我需要自动更新证书的服务器只绑定到 https:||mysubdomain.mydomain.com:443 和 smtp:||mysubdomain.mydomain.com:25。http:||mysubdomain.mydomain.com:80 和 ftp:||mysubdomain.mydomain.com:21 都指向不同的服务器。

正如您可能已经猜到的那样,现在在此过程中抛出的错误是“ACME 服务器可能无法访问 http:||mysubdomain.mydomain.com:80/.well-known/acme-challenge/abcdefgh... xyz”。

我完全清楚为什么,但我无法修复它,因为 http:||mysubdomain.mydomain.com 必须指向另一台服务器。如果 ACME 服务器尝试 https:||mysubdomain.mydomain.com:443/.well-known/acme-challenge/abcdefgh...xyz,但忽略任何证书问题,他将成功找到挑战。

有什么我可以做的,我忽略的任何功能,可以帮助我让自动续订工作吗?

4

1 回答 1

2

有多种选择:

http-01

重定向http://example.com/.well-known/acme-challenge/*https://example.com/.well-known/acme-challenge/*,Boulder 将很乐意遵循任何此类重定向并忽略提供的证书。如果您可以访问其他服务器并且可以配置该重定向,那么这是最简单的方法。这是一个永久重定向,您无需调整,每三个月就可以了。

由于某些流行的服务器软件存在安全问题,直接使用 HTTPS 的选项已被删除托管。

tls-sni-01

如果您只想使用端口443,您可以使用另一种挑战类型,称为tls-sni-01. 但我认为目前还没有支持这种挑战类型的 Windows 客户端。

dns-01

如果您可以通过简单的 API 控制 DNS,您还可以使用 DNS 质询,它完全独立于您可以使用的端口。

于 2016-04-21T08:21:48.253 回答