长亭百川云 - 技术讨论

雷池WAF有关DNS-01/ACME申请证书的探讨

发布于 3 个月前

# 雷池 WAF
# 问题反馈
功能建议

发布于 3 个月前

头像

Jason Feng

更新于 3 个月前

7

0

很早之前,Github社区就已经有关于DNS-01/ACME申请Let's encrypt/ZeroSSL证书的话题,HTTP-01在没有80,443端口的环境(比如家宽用户)无法获取证书,请问官方会考虑加入DNS-01申请证书的模块吗,如有,会有Roadmap公开吗

头像

齐天大圣孙悟空

管理员

更新于 3 个月前

0

0

dns challenge 需要雷池能完全控制域名的解析权才行,不然很难自动化完成。。。。没有公网 IP 的话也搞定吧

头像

Jason Feng

更新于 3 个月前

并不需要,ACME的方式,使用域名解析厂商的API实现,详情参考acme.sh这个repo,或者参考一下Nginx proxy manager中申请/管理证书的方式

头像

Jason Feng

更新于 3 个月前

或者换一种思路,不想引入更多复杂的功能模块的话,可以加入基于路径使用证书的方式,给一个路径让用户自行解决证书自动化更新,docker持久化一个路径,比如data/safeline/cert/这种

头像

(*^ω^*)

更新于 3 个月前

1

0

加一下云厂商的sdk接口,传入ak就可以调用了,或者dns改为可选,每次抛出dns记录内容,手动配置也可以

头像

愤怒的星星

更新于 3 个月前

0

0

真是莫名其妙的需求,人家是做安全的。没有80、443,你玩什么服务器?

头像

Jason Feng

更新于 3 个月前

友好交流,场景是多样化的,安全厂商也有不用80 443作为对外端口web服务的

头像

熊大,光头强又来砍树了

更新于 3 个月前

0

0

支持一下,http challenge 确实有局限性,如果能支持 dns challenge 就非常棒了。目前我是用第三方组件手动实现的类似功能。

头像

耗子

更新于 3 个月前

1

0

支持,雷池管理端是go写的,可以用caddyserver开源的acmez,例子:
https://github.com/TheTNB/panel/tree/v2.2.27/pkg/acme
不太推荐用https://github.com/go-acme/lego ,会导入很多不必要的包。

头像

久旱逢甘雨

更新于 1 个月前

0

0

雷池的帮助文档最佳实践里面就有 自动续SSL 的文章,虽然路子很野但是确实可行。

其核心关键点在于证书文件路径和让证书生效的指令:

1--key-file /data/safeline/resources/nginx/certs/cert_1.key \
2--fullchain-file /data/safeline/resources/nginx/certs/cert_1.crt \
3--reloadcmd "docker exec safeline-tengine nginx -s reload
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2