ACME 驗證方式 – Let’s Encrypt – 免費的 SSL/TLS 憑證

目前 Let’s encrypt HTTP 模式
驗證時一定要開放申請網域的 80 port(不能變更)
並將指定的路徑放上 token 檔案
如果從設備提供 80 port 網頁
前端設備也要配合調整開放
如果網域原本就有web 可能會有另外的問題

另外HTTP 與 DNS 一個滿重要的差異
HTTP 模式不能申請萬用網域 (EX: *.abc.com.tw)

———————————————————-

你從 Let’s Encrypt 取得憑證時，我們的伺服器會使用 ACME 標準下所制定的”考驗”，來驗證你是否擁有你所申請的網域。大多情況下，驗證過程都是由 ACME 客戶端自動完成的，不過如果你想要一些更複雜的設定，我們建議你了解更多有關驗證的機制。如果你不確定該使用哪個驗證方式，請使用你 ACME 客戶端的預設選項，或使用 HTTP-01 考驗。HTTP-01 考驗 這是現今最常見的一種驗證方式。Let’s Encrypt 給予 ACME 客戶端一個 token，請 ACME 客戶端將包含 token 和帳號金鑰指紋的檔案，放到網頁伺服器中 http:///.well-known/acme-challenge/ 的位置。當 ACME 客戶端通知 Let’s Encrypt 這個檔案已經放置完成，Let’s Encrypt 就會試著取得它（可能會從多個主機嘗試取得數次）。如果我們能從你的網頁伺服器取得檔案並驗證其內容，你就通過了這個考驗，你可以接著向我們申請憑證頒發。如果我們的驗證失敗，你就必須重來一次。我們驗證 HTTP-01 時，接受最多 10 次重新導向，並且只接受從 “http:” 導向到 “https:” 與通訊埠 80 導向到通訊埠 443，不接受 IP 位址的重新導向。當我們被重新導向到 HTTPS 後，我們不會驗證憑證是否有效（因為驗證的目的是申請有效憑證，所以可能會遇到自簽憑證或是過期憑證）。HTTP-01 只能只能透過通訊埠 80 來完成；讓 ACME 客戶端使用任意通訊埠進行驗證，可能會導致安全性問題，所以 ACME 標準中不允許這樣的驗證行為。優點： 在不需要了解設定網域的額外知識下，輕鬆的完成自動驗證 允許主機或服務提供業者透過 CNAME 紀錄申請憑證 適用於多數現成的網頁伺服器 缺點： 如果你的網路服務業者 (ISP) 阻擋通訊埠 80（這種情況很少見，但有些住宅區的 ISP 會這麼做）那麼你就無法使用這個方式驗證 Let’s Encrypt 不允許你使用這種驗證方式頒發萬用憑證 如果你有很多個網頁伺服器，你必須確保驗證檔案在各個伺服器上 DNS-01 考驗 這個考驗會請你在網域的 TXT 紀錄中，放一段特定的文字，來證明你擁有此網域的 DNS 控制權。DNS-01 的設定步驟會比 HTTP-01 困難，但是它可以在 HTTP-01 無法使用的情況下完成驗證。它也允許你申請萬用憑證。

內容出處: ACME 驗證方式 – Let’s Encrypt – 免費的 SSL/TLS 憑證