let'sencrypt 发行证书支持的验证方式有: [ol]DNS-01HTTP-01TLS-ALPN-01 [/ol] 其中 DNS-01 可通过 CNAME 省去设置 apikey 和 secret ,当然前提至少有一个域名是可以修改记录 programmatically. 有些 http 服务器支持自动更新证书,知道是怎么实现的吗? 其实 nginx 和 haproxy 也可以轻易实现自动更新。是的,L4 级别的监听即可,不要 terminator TLS 就可以区分是否来自 acme challenge 。 测试每一种 challenge amce, challenge, validation
DNS-01 是一种,直接修改 DNS 的 TXT 记录,且支持 CNAME ,比较适合一个证书里面多个域名进行批量申请 HTTP-01 和 TLS-ALPN-01 是同一种,需要通过域名的解析记录进行实际访问,分别对应 80 端口和 443 端口 比如需要预申请证书,就得用 DNS-01 如果是已经在运行的服务器需要申请证书,可以用 HTTP-01 和 TLS-ALPN-01 申请正在运行的服务端的证书
