我将 NGINX 配置为反向代理,并通过 Let's Encrypt 使用它来处理 HTTPS。好吧,Let's Encrypt 证书即将在 3 个月内到期,管理员需要配置在生产环境中自动更新它。
此方案适用于单个实例。但是,如果我想在 Amazon ELB 或 Route 53 后面扩展 NGINX 实例呢?在每个实例中续订证书没有意义。
任何人都有这样的用例经验吗?请建议。
谢谢你。
我将 NGINX 配置为反向代理,并通过 Let's Encrypt 使用它来处理 HTTPS。好吧,Let's Encrypt 证书即将在 3 个月内到期,管理员需要配置在生产环境中自动更新它。
此方案适用于单个实例。但是,如果我想在 Amazon ELB 或 Route 53 后面扩展 NGINX 实例呢?在每个实例中续订证书没有意义。
任何人都有这样的用例经验吗?请建议。
谢谢你。
有多种选择。
address
用于http-01
. 您可以使用它,因此验证机构将选择该地址来验证域所有权。我不知道这是否已经在Let's Encrypt 使用的软件Boulder中实现。http-01
遵循任何重定向,因此您可以重定向/.well-known/acme-client/*
到acme.example.com
或直接重定向到运行客户端的 IP。dns-01
挑战类型。它通过提供与 for 相同有效负载的TXT
记录来工作。_acme-challenge.example.com
http-01
对于这些选项中的任何一个,您只需要一台运行客户端的机器。然后,您可以编写一个小脚本,将您的私钥和证书分发到所有其他服务器。
官方客户端可能不是可用于编写脚本的最佳客户端。有许多可用的客户端。其中之一是我自己的可用于编写脚本的客户端。根据您计划的集成规模,库可能更有用。