gpt4 book ai didi

ssl - 在多个 NGINX 反向代理实例中更新 Let's Encrypt 证书

转载 作者:太空宇宙 更新时间:2023-11-03 12:53:55 28 4
gpt4 key购买 nike

我将 NGINX 配置为反向代理,并使用它通过 Let's Encrypt 处理 HTTPS。那么,Let's Encrypt 证书将在 3 个月内到期,管理员需要在生产环境中配置为自动续订。

此场景适用于单个实例。但是,如果我想横向扩展 Amazon ELB 或 Route 53 后面的 NGINX 实例怎么办?在每个实例中更新证书没有意义。

有人在这样的用例中有过经验吗?请建议。

谢谢。

最佳答案

有多种选择。

  • 最新版本的规范包括 address parameter for http-01 .您可以使用它,因此验证机构将选择该地址来验证域所有权。我不知道这是否已在 Boulder 中实现,Let's Encrypt 使用的软件。
  • 另一种选择是将所有请求重定向到特定域。 http-01 跟随任何重定向,因此您可以将 /.well-known/acme-client/* 重定向到 acme.example.com 或直接连接到运行客户端的 IP。
  • dns-01 质询类型。它的工作原理是为 _acme-challenge.example.com 提供一个 TXT 记录,其负载与 http-01 相同。

对于这些选项中的任何一个,您只需要一台运行客户端的机器。然后,您可以编写一个小脚本,将您的私钥和证书分发到所有其他服务器。

官方客户端可能不是可用于编写脚本的最佳客户端。有many available clients .其中之一是 my own client可以用于脚本。根据您计划的集成规模,library might be more useful .

关于ssl - 在多个 NGINX 反向代理实例中更新 Let's Encrypt 证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35308373/

28 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com