Рейтинг:0

Настройка DNS для локального DNS-сервера ACME

флаг ec

Я, вероятно, просто туплю по этому поводу, но я пытаюсь настроить ACME DNS сервер в моей локальной сети (общедоступный) для обработки Проблемы DNS-01 необходимо автоматизировать продление/перевыпуск Давайте зашифруем SSL-сертификаты для моего домена. Я считаю, что сам сервер работает, но я сталкиваюсь с путаницей / блокпостами, когда дело доходит до правильной настройки DNS для домена и его поддомена авторизации.

Читая документацию, в нем говорится, что мне нужно добавить:

  • NS запись для auth.example.org указывает на auth.example.org (это означает, что auth.example.org несет ответственность за любой *.auth.example.org записи)
  • А запись для auth.example.org указывает на 198.51.100.1

Мой домен зарегистрирован в GoDaddy, но DNS размещен в другом месте. я настроил А запись с хостом DNS, чтобы указать на мой DNS-сервер ACME (и настроить всю маршрутизацию в моем брандмауэре для доступа к нему), но пытаясь получить NS добавление/установка записи оказывается довольно сложной задачей. Согласно моему хосту DNS, они не могут просто добавить NS запись в файл зоны b/c вызывает бесконечный цикл поиска DNS.

Текущий DNS-запрос (auth.example.org. 86400 В А 198.51.100.1):
Клиент -> запрос направляется в компанию-регистратор (GoDaddy) -> GoDaddy делегировала зону в [MyDNSHost] -> DNS-серверы [MyDNSHost] отображают А записывать 198.51.100.1

DNS-запрос с NS-записью (auth.example.org. 86400 В NS auth.example.org.):
Клиент -> запрос поступает в компанию-регистратора (GoDaddy) -> GoDaddy делегирует зону в [MyDNSHost] -> [MyDNSHost] DNS-серверы делегируют субдомен в auth.example.org -> а затем он возвращается к началу и бесконечно зацикливается

Это имеет смысл для меня, но я задаюсь вопросом, что именно делать, чтобы сделать следующий шаг.Я вошел в свою учетную запись GoDaddy и перешел на страницу управления DNS домена. я могу добавить NS запись, но это на всю пример.org домен, не только в auth.example.org поддомен.

Я попытался "Добавить переадресацию" для поддомена, но это дало мне понять, что это "автоматически обновлять домен до серверов имен GoDaddy по умолчанию, если он в настоящее время не использует [их]", чего я не хочу.

Единственное, что я могу придумать на данный момент, это:

  1. Создайте совершенно новую зону для auth.example.org субдомен с моим текущим хостом DNS с NS запись, указывающая на себя, но похоже, что это вызовет аналогичные проблемы с «зацикливанием».
  2. Попробуйте уговорить GoDaddy добавить поддомен, не меняя серверы имен (или взимая плату за другое доменное имя).

Я уверен, что просто что-то упускаю, но я не уверен, что это "что-то" может быть на данный момент. Прежде чем я попытаюсь внести кучу изменений, которые в конечном итоге приведут к сбою разрешения DNS для моего домена, я просто хочу знать, на кого я должен направить свои усилия, чтобы получить требуемый NS Запись Создана? GoDaddy или [MyDNSHost]?

G_Hosa_Phat avatar
флаг ec
**ПРИМЕЧАНИЕ.** Все началось из-за того, что на моем текущем хосте DNS нет доступного API для используемого нами плана хостинга. Я полагаю, что *могу* переместить свою DNS-зону обратно в GoDaddy, где доступен API, который позволил бы мне автоматизировать авторизацию запроса DNS-01 оттуда, но, просмотрев все, я бы предпочел, чтобы процесс авторизации был отделен от основной DNS-хост, кем бы он ни был.
almdandi avatar
флаг ru
На мой взгляд, вам следует просто добавить записи NS в корневую зону. В конфигурационный файл acme-dns вы добавляете записи A и NS. Или вы используете службу acme-dns, предоставляемую acme-dns.io, поэтому вам не нужно размещать собственные
G_Hosa_Phat avatar
флаг ec
Спасибо за ваш вклад, @almdandi. Но, как я объяснил выше, добавление его в корневую зону `example.org` с моим хостом DNS, по-видимому, приводит к бесконечному циклу поиска DNS, поскольку домен зарегистрирован в GoDaddy. Из-за этого они говорят, что не могут добавить эту запись `NS` в мой файл зоны.
Рейтинг:3
флаг ng

GoDaddy не играет здесь никакой роли, кроме регистратора. Они не могут сделать ничего из того, что вы предлагаете, потому что они не контролируют DNS за пределами TLD (домена верхнего уровня).

Перейдите на свой DNS-хост для пример.org (Родительская зона) и добавьте:

  1. Запись NS для auth.example.org это указывает на ns1.auth.example.org.
  2. Создайте запись A для ns1.auth.example.org который указывает на IP-адрес вашего DNS-сервера Acme.(Запись «Клей»)

Перейдите на свой DNS-сервер ACME для auth.example.org (Детская зона):

  1. Создайте зону для auth.example.org
  2. Создайте запись SOA для auth.example.org с соответствующей информацией о зоне.
  3. Создайте запись NS для auth.example.org это указывает на ns1.auth.example.org. (То же, что и в родительской зоне)
  4. Создайте любые другие записи, которые вам нужны для xyz.auth.example.org, и т.д.

Выполнено.

https://simplens.plus/kb/64/как-делегировать-субдомен-на-другие-dns-серверы

Как именно мне настроить DNS для делегирования полномочий для субдоменов?

G_Hosa_Phat avatar
флаг ec
Итак, одно различие между тем, что вы описали, и тем, что показывают инструкции в README для репозитория GitHub, заключается в том, что запись `A` в родительской зоне предназначена для «подподдомена» (`ns1.auth.example. org`, а не просто `auth.example.org`), а запись `NS` указывает на этот "субдомен". Я считаю, что это может быть «корень» (простите за каламбур DNS) моей проблемы, и я надеюсь, что смогу взять ее оттуда. Спасибо большое.
almdandi avatar
флаг ru
Вы не можете добавить запись NS для auth.example.org, а также добавить запись A для ns1.auth.example.org или auth.example.org в родительской зоне. Поскольку запись NS для auth.example.org будет перехватывать все запросы для auth.example.org и всех подзон (*.auth.example.org). Для просмотра подзоны auth.example.org вам необходимо добавить записи на полномочный DNS-сервер для подзоны, связанной с записью NS в родительской зоне. В вашем случае это acme-dns.
Appleoddity avatar
флаг ng
@almdandi ошибается. Это называется клеевая пластинка.Без связующей записи в родительской зоне клиенты не будут знать, как найти авторитетный DNS-сервер для auth.example.org. Потому что они должны найти эту зону, прежде чем они найдут ns1.auth.example.org, если все сделано так, как вы описали. Есть смысл?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.