我将NGINX配置为反向代理,并使用它来处理带有Let的加密的HTTPS。好吧,让我们的加密证书即将在3个月内到期,管理员需要配置为在生产环境中自动续订。
此方案适用于单个实例。但是,如果我想扩展Amazon ELB或Route 53背后的NGINX实例,那么。在每个实例中续订证书都没有意义。
任何人都有这样的用例体验吗?请建议。
谢谢。
答案 0 :(得分:1)
有多种选择。
address
parameter for http-01
。您可以使用它,因此验证机构将选择该地址来验证域所有权。我不知道这是否已经在Boulder中实现,即Let's Encrypt使用的软件。http-01
遵循任何重定向,因此您可以将/.well-known/acme-client/*
重定向到acme.example.com
或直接重定向到运行客户端的IP。dns-01
质询类型。它的工作原理是为TXT
提供_acme-challenge.example.com
记录,其有效负载与http-01
相同。对于任何这些选项,您只需要一台运行客户端的计算机。然后,您可以编写一个小型脚本,将您的私钥和证书分发给所有其他服务器。
官方客户端可能不是可用于编写脚本的最佳客户端。有many available clients。其中一个是my own client,可用于编写脚本。根据您计划的集成规模,library might be more useful。