我正在使用脱水(letsencrypt.sh)客户端生成letsencrypt证书,并使用dns-01 challenge for aws route53。
我必须为以下主要和子域生成单一证书。
example.org qa01.example.org qa02.example.org
此处,example.org只是公共托管区域,qa01.example.org和qa02.example.org是在EC2实例中运行的两个应用程序。这两个应用程序再次在haproxy下,即proxy01.example.org。
最初我在Route53中只有一个公共托管区域,即'example.org',其CNAME创建如下:
qa01.example.org CNAME proxy01.example.org
qa02.example.org CNAME proxy01.example.org
和haproxy.cfg有适当的配置将qa01和qa02 url重定向到适当的IP地址。
目前的问题是没有为子域生成证书。 letsencrypt.sh因“区域qa01.example.org和qa02.example.org不可用”而引发错误。
我应该为qa01.example.org和qa02.example.org创建新的公共区域(以及我将来会像qa03.example.org等一样开发的新应用程序)?
用于测试目的(因为我不确定它是否适当的解决方案)在route53中创建 qa01.example.org和qa02.example.org公共区域并尝试运行letsencrypt.sh,现在它抛出错误:
ERROR: Challenge is invalid! (returned: invalid) (result: {
"type": "dns-01",
"status": "invalid",
"error": {
"type": "urn:acme:error:connection",
"detail": "DNS problem: NXDOMAIN looking up TXT for _acme-challenge.qa01.example.org",
"status": 400
}
如何解决此问题,是否可以配置route53,以便可以为所有未来的子域重新创建证书,而无需为每个子域创建托管区域。