3

我将 NGINX 配置为反向代理,并通过 Let's Encrypt 使用它来处理 HTTPS。好吧,Let's Encrypt 证书即将在 3 个月内到期,管理员需要配置在生产环境中自动更新它。

此方案适用于单个实例。但是,如果我想在 Amazon ELB 或 Route 53 后面扩展 NGINX 实例呢?在每个实例中续订证书没有意义。

任何人都有这样的用例经验吗?请建议。

谢谢你。

4

1 回答 1

1

有多种选择。

  • 最新版本的规范包括一个address用于http-01. 您可以使用它,因此验证机构将选择该地址来验证域所有权。我不知道这是否已经在Let's Encrypt 使用的软件Boulder中实现。
  • 另一种选择是将所有请求重定向到特定域。http-01遵循任何重定向,因此您可以重定向/.well-known/acme-client/*acme.example.com或直接重定向到运行客户端的 IP。
  • dns-01挑战类型。它通过提供与 for 相同有效负载的TXT记录来工作。_acme-challenge.example.comhttp-01

对于这些选项中的任何一个,您只需要一台运行客户端的机器。然后,您可以编写一个小脚本,将您的私钥和证书分发到所有其他服务器。

官方客户端可能不是可用于编写脚本的最佳客户端。有许多可用的客户端。其中之一是我自己的可用于编写脚本的客户端。根据您计划的集成规模,库可能更有用

于 2016-03-28T19:25:37.727 回答