Certbot /.well-known/acme-challenge

时间:2017-01-23 09:40:47

标签: nginx lets-encrypt certbot

我是否应该始终在服务器上公开/.well-known/acme-challenge? 这是我的HTTP配置:

server {
 listen 80;

 location '/.well-known/acme-challenge' {
    root        /var/www/demo;
  }

 location / {
          if ($scheme = http) {
            return 301 https://$server_name$request_uri;
          }
 }

除了极限挑战(用于自动续订)之外,它基本上将所有请求重定向到https。我的问题:是否可以将位置'/.well-known/acme-challenge'始终暴露在端口80上?或者,当需要重新颁发证书时,还是更好地手动注释/取消注释?这有什么安全问题吗?

任何有关此位置的建议或链接都​​表示赞赏。谢谢!

4 个答案:

答案 0 :(得分:6)

只有在验证域到此IP地址时才需要Acme挑战链接

答案 1 :(得分:3)

签名证书后,您无需保留令牌。但是,正如explained by a Certbot engineer

那样,留下它也没什么害处
  

在服务器尝试验证之后,从ACME服务器的角度来看,令牌是不再活动的特定挑战的一部分。它会显示有关您如何获得证书的一些信息,但不应允许其他人为您的网站颁发证书或冒充您。

答案 2 :(得分:0)

万一有人发现这有帮助,我只是问了托管客户支持,他们按照以下说明进行了解释...

  

是的,cPanel会自动按顺序创建“知名”文件夹   验证您的域是否用于AutoSSL。 AutoSSL已添加   cPanel / WHM的功能可为您提供免费的SSL证书   域,也称为自签名SSL证书。文件夹   .well-known创建,而域验证过程的时间为   AutoSSL安装的一部分

     

它不是需要删除的文件,它不会导致任何   问题。

答案 3 :(得分:-3)

文件名(.well-known)之前的句点表示它是一个隐藏目录。如果您的服务器被黑客攻击,黑客就可以获得这些信息。