续订让我们在多个NGINX反向代理实例中加密证书

时间:2016-02-10 06:34:00

标签: ssl nginx reverse-proxy lets-encrypt

我将NGINX配置为反向代理,并使用它来处理带有Let的加密的HTTPS。好吧,让我们的加密证书即将在3个月内到期,管理员需要配置为在生产环境中自动续订。

此方案适用于单个实例。但是,如果我想扩展Amazon ELB或Route 53背后的NGINX实例,那么。在每个实例中续订证书都没有意义。

任何人都有这样的用例体验吗?请建议。

谢谢。

1 个答案:

答案 0 :(得分:1)

有多种选择。

  • 规范的最新版本包含address parameter for http-01。您可以使用它,因此验证机构将选择该地址来验证域所有权。我不知道这是否已经在Boulder中实现,即Let's Encrypt使用的软件。
  • 另一种选择是将所有请求重定向到特定域。 http-01遵循任何重定向,因此您可以将/.well-known/acme-client/*重定向到acme.example.com或直接重定向到运行客户端的IP。
  • dns-01质询类型。它的工作原理是为TXT提供_acme-challenge.example.com记录,其有效负载与http-01相同。

对于任何这些选项,您只需要一台运行客户端的计算机。然后,您可以编写一个小型脚本,将您的私钥和证书分发给所有其他服务器。

官方客户端可能不是可用于编写脚本的最佳客户端。有many available clients。其中一个是my own client,可用于编写脚本。根据您计划的集成规模,library might be more useful