【问题标题】:Renewal Let's Encrypt certificate in multiple NGINX reverse proxy instances续订让我们在多个 NGINX 反向代理实例中加密证书
【发布时间】:2016-02-10 06:33:59
【问题描述】:

我将 NGINX 配置为反向代理,并通过 Let's Encrypt 使用它来处理 HTTPS。好吧,Let's Encrypt 证书即将在 3 个月内到期,管理员需要配置在生产环境中自动更新它。

此方案适用于单个实例。但是,如果我想在 Amazon ELB 或 Route 53 后面扩展 NGINX 实例呢?在每个实例中更新证书是没有意义的。

任何人都有这样的用例经验吗?请建议。

谢谢。

【问题讨论】:

    标签: ssl nginx reverse-proxy lets-encrypt


    【解决方案1】:

    有多种选择。

    • 最新版本的规范包括address parameter for http-01。您可以使用它,因此验证机构将选择该地址来验证域所有权。我不知道这是否已经在 Let's Encrypt 使用的软件 Boulder 中实现。
    • 另一种选择是将所有请求重定向到特定域。 http-01 遵循任何重定向,因此您可以将 /.well-known/acme-client/* 重定向到 acme.example.com 或直接重定向到运行客户端的 IP。
    • dns-01 挑战类型。它通过为_acme-challenge.example.com 提供与http-01 相同的有效负载的TXT 记录来工作。

    对于这些选项中的任何一个,您只需要一台运行客户端的机器。然后,您可以编写一个小脚本,将您的私钥和证书分发到所有其他服务器。

    官方客户端可能不是可用于编写脚本的最佳客户端。有many available clients。其中之一是my own client,可用于编写脚本。根据您计划的集成规模,library might be more useful

    【讨论】:

      猜你喜欢
      • 2018-08-15
      • 1970-01-01
      • 2017-06-15
      • 1970-01-01
      • 2020-07-20
      • 1970-01-01
      • 2017-11-22
      • 2023-03-15
      • 1970-01-01
      相关资源
      最近更新 更多