3 分鐘閱讀 | 最後修改: 0001-01-01, 0:00:00 am

Let's Encrypt 託管證書

OpenResty Edge 可以從 Let’s Encrypt 自動獲取和續期 TLS 證書。 支援以下型別的證書及其任意組合:

  • 單域名證書:如 example.com
  • SAN(Subject Alternative Name)多域名證書:如同時包含 example.comwww.example.com
  • 泛域名證書:如 *.example.com

前提條件

Let’s Encrypt 對非泛域名和泛域名使用不同的驗證方式。OpenResty Edge 在簽發時會自動檢測每個域名應使用哪種方式,但需要你提前完成相應的配置。

非泛域名(如 example.comwww.example.com

使用 HTTP 驗證。Let’s Encrypt 會向該域名傳送 HTTP 請求,因此需要在你的域名提供商處,將該域名的 A 記錄指向當前 Gateway Cluster 的 OpenResty Edge Node IP。

DNS 可以託管在任何地方,只要解析結果指向 OpenResty Edge Node 即可。

如果 A 記錄未指向 OpenResty Edge Node,但該域名的權威 DNS 已託管在 OpenResty Edge 上,則會自動回退到 DNS 驗證。

泛域名(如 *.example.com*.a.example.com

將會使用 DNS 驗證(Let’s Encrypt 的要求)。需要完成以下兩步配置:

1. 在 OpenResty Edge 上託管 DNS 應用

將泛域名的父域名(或更上級域名)作為 DNS 應用託管在 OpenResty Edge 中。例如:

泛域名證書需託管的 DNS 應用(任選其一)
*.example.comexample.com
*.a.example.coma.example.comexample.com
*.a.b.example.coma.b.example.comb.example.comexample.com

2. 在域名註冊商處將 NS 記錄指向 OpenResty Edge

在域名註冊商(如 GoDaddy、Namecheap 等)處,將對應域名的 NS 記錄指向 OpenResty Edge Node,使 OpenResty Edge 成為該域名的權威 DNS 伺服器。

修改 NS 記錄意味著將該域名的整個 DNS 解析權交給 OpenResty Edge。請確保已在 OpenResty Edge 的 DNS 應用中正確配置了所有需要的 DNS 記錄。

您可以參考以下 《將域名的 DNS 解析遷移到 OpenResty Edge》 相關文件。

簽發證書

第一步:點選 “新證書” 按鈕,然後選擇 “Let’s Encrypt”

第二步:填寫一個或多個域名,然後點選 “儲存”

第三步:OpenResty Edge 會自動完成域名驗證、證書申請和部署。重新整理頁面可檢視簽發狀態。

自動續期

OpenResty Edge 會在以下情況自動獲取或更新證書,無需人工干預:

  1. 新增一個 Let’s Encrypt 證書時;
  2. 修改已有 Let’s Encrypt 證書的域名列表時;
  3. 證書的剩餘有效期不足 30 天時。

操作按鈕說明

證書列表中,每條記錄右側的操作按鈕從左到右依次為:

按鈕功能說明
第 1 個檢視狀態懸停檢視狀態摘要,點選檢視詳細日誌。排查失敗問題時尤其有用。
第 2 個立即重試手動觸發重新申請。通常僅在狀態顯示失敗時使用。
第 3 個修改證書編輯證書資訊,修改後自動重新簽發。
第 4 個刪除證書刪除該託管證書。

常見問題排查

錯誤資訊原因與解決方法
“DNS A record … is not point to this Gateway Cluster”域名的 A 記錄未指向 OpenResty Edge Node IP。請在域名提供商處修改 A 記錄。
“does not belongs to any DNS application”泛域名的父域名未在 OpenResty Edge 上託管為 DNS 應用。請先新增對應的 DNS 應用。
“DNS NS record … is not point to this Gateway Cluster”域名的 NS 記錄未指向 OpenResty Edge Node。請在域名註冊商處修改 NS 記錄。
“DNS query failed” / “unexpected answers”DNS 記錄尚未生效或配置有誤。請等待數分鐘後點選立即重試,或核實 NS 配置。