ကုဒ်ဝှက်ခြင်းအတွက် အခမဲ့ SSL လက်မှတ်များကို ပေးဆောင်သည့် LetsEncrypt သည် အချို့သော လက်မှတ်များကို ရုပ်သိမ်းရန် ခိုင်းစေပါသည်။
ပြဿနာက ဆက်စပ်နေတယ်။ Boulder control software တွင် CA ကိုတည်ဆောက်ရန်အသုံးပြုသည်။ ပုံမှန်အားဖြင့်၊ CAA မှတ်တမ်း၏ DNS စစ်ဆေးမှုသည် ဒိုမိန်းပိုင်ဆိုင်မှုကို အတည်ပြုခြင်းနှင့်အတူ တပြိုင်နက်တည်း ဖြစ်ပေါ်ပြီး စာရင်းသွင်းသူအများစုသည် စိစစ်ပြီးနောက် ချက်ခြင်းလက်မှတ်ကို ရရှိကြသော်လည်း ဆော့ဖ်ဝဲလ်ဆော့ဖ်ဝဲရေးဆွဲသူများသည် စိစစ်ခြင်း၏ရလဒ်ကို လာမည့်ရက် 30 အတွင်း ကျော်လွန်သွားသည်ဟု ယူဆနိုင်စေရန်အတွက် ၎င်းကို ပြုလုပ်ထားသည်။ . အချို့ကိစ္စများတွင်၊ လက်မှတ်မထုတ်ပေးမီတွင် မှတ်တမ်းများကို ဒုတိယအကြိမ်စစ်ဆေးနိုင်သည်၊ အထူးသဖြင့် CAA ကို ထုတ်ပေးခြင်းမပြုမီ 8 နာရီအတွင်း ပြန်လည်စစ်ဆေးရန် လိုအပ်သည်၊ ထို့ကြောင့် ဤကာလမတိုင်မီ အတည်ပြုထားသော မည်သည့်ဒိုမိန်းကိုမဆို ပြန်လည်စစ်ဆေးရပါမည်။
အမှားကဘာလဲ။ လက်မှတ်တောင်းဆိုချက်တွင် ထပ်ခါတလဲလဲ CAA အတည်ပြုမှုလိုအပ်သော N ဒိုမိန်းများပါရှိသည်ဆိုပါက၊ Boulder သည် ၎င်းတို့ထဲမှ တစ်ခုကို ရွေးချယ်ပြီး ၎င်းကို N အကြိမ်အဖြစ် အတည်ပြုသည်။ ရလဒ်အနေဖြင့်၊ သင်သည် LetsEncrypt လက်မှတ်ထုတ်ပေးခြင်းအား တားမြစ်သည့် CAA မှတ်တမ်းတစ်ခုအား နောက်ပိုင်း (X+30 ရက်အထိ) နောက်ပိုင်း (X+XNUMX ရက်အထိ) သတ်မှတ်လျှင်ပင် လက်မှတ်ထုတ်ပေးနိုင်သည်။
လက်မှတ်များကို စိစစ်ရန် ကုမ္ပဏီက ပြင်ဆင်ထားသည်။ အသေးစိတ် အစီရင်ခံစာကို ဖော်ပြပါမည်။
အဆင့်မြင့်အသုံးပြုသူများသည် အောက်ပါ command များကို အသုံးပြု၍ အရာအားလုံးကို ကိုယ်တိုင်လုပ်ဆောင်နိုင်သည်-
# проверка https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# вариант проверки от @simpleadmin
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# проверка почтового сервера, протокол IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# в принципе аналогично проверяются и другие сервисыနောက်တစ်ခုကြည့်ဖို့ လိုတယ်။ သင်၏ အမှတ်စဉ်နံပါတ်၊ စာရင်းတွင်ပါလျှင် လက်မှတ်(များ)ကို သက်တမ်းတိုးရန် အကြံပြုပါသည်။
လက်မှတ်များကို အပ်ဒိတ်လုပ်ရန်၊ သင်သည် certbot ကိုသုံးနိုင်သည်-
certbot renew --force-renewalပြဿနာကို ဖေဖော်ဝါရီ ၂၉၊ 29 တွင် တွေ့ရှိခဲ့ပြီး ပြဿနာကိုဖြေရှင်းရန် 2020:3 UTC မှ 10:5 UTC မှ လက်မှတ်များထုတ်ပေးခြင်းကို ဆိုင်းငံ့ထားပါသည်။ အတွင်းပိုင်းစုံစမ်းစစ်ဆေးမှုအရ၊ 22 ခုနှစ် ဇူလိုင်လ 25 ရက်နေ့တွင် အမှားအယွင်းဖြစ်ခဲ့ပြီး၊ ကုမ္ပဏီသည် နောက်ထပ်အသေးစိတ်အစီရင်ခံစာကို နောက်မှတင်ပြပါမည်။
UPD- အွန်လိုင်းလက်မှတ်အတည်ပြုခြင်းဝန်ဆောင်မှုသည် ရုရှား IP လိပ်စာများမှ အလုပ်မလုပ်ပါ။
source: www.habr.com