你能在没有适当的FQDN的情况下生成一个“让我们加密”证书吗？

Question

我的蓝色VM是由其他人生成的。它已经变得很重要。我需要为数据库SSL创建一个服务器证书。我使用certbot和letsencrypt，如下所示：

https://www.vultr.com/docs/use-ssl-encryption-with-postgresql-on-ubuntu-20-04/

在这一步中，我从这里解脱出来：

sudo certbot certonly --standalone -d zz-ubuntu1

Account registered.
Requesting a certificate for zz-ubuntu1
An unexpected error occurred:
Error creating new order :: Cannot issue for "zz-ubuntu1": Domain name needs at least one dot

所以，我没有把一个域名，因为似乎没有一个。

主机文件未被触摸：

127.0.0.1 localhost

# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

关于域名，似乎什么都没有：

root@zz-ubuntu1:~/tmp_certbot_key# hostname -f
ZZ-UBUNTU1

为了按照指令由certbot生成CA证书，我相信我需要给它一个FQDN，但是也许有一些虚拟条目或软糖，我可以.？

我无法进入蔚蓝的入口。我确实有根。

有人知道我是否可以采取任何步骤来生成证书吗？最好不会对独立的Postgres DB造成任何损害。

Answer 1

让我们加密是获取公开签名证书的一种方式。这意味着证书签名机构必须有某种方式来验证证书签名请求中的域是否与请求关联。通常，这是通过添加具有“证明”域的内容的公共DNS CNAME或TXT记录，或者通过将内容添加到域上的web端点来完成的，从而获得与您拥有域相同的证据。

作为一个不合格的主机名，没有人拥有ZZ-UBUNTU1。它只是一个字符串标识符。您无法获得此名称的公共证书，因为在签名之前无法对其进行验证。

以下是一些你可以做的事情：

• 可以使用非公开CA密钥对证书进行签名。将CA密钥保存在安全的地方，向客户端提供CA证书，向postgres服务器提供签名证书和密钥。公众不会信任证书，但他们不会连接到postgres服务器。如果CA密钥是安全的，则这在密码上与公开签名的证书一样安全。这只是一个适当的解决方案，如果证书不需要由公众验证，他们就没有理由信任您的CA证书。
• 作为一种类似的选择，您可以使用自签名证书。这意味着与证书相关的密钥也是用于签署CSR的密钥，因此CA密钥材料和服务器密钥材料是相同的。然后，可以将自签名证书指定为客户端配置中的ca-cert，以便验证密钥。这也只对私人使用的证书有效，因为公众无法核实真实性。
• 可以在组织控制的域下使用FQDN。您的ogranization将允许您更新DNS或处理对FQDN的公共http请求，以便您能够提供所有权证明。例如，如果您有example.com，您可以为db.internal.example.com获得一个公开签名的证书。然后，您可以将db.internal.example.com定义为127.0.0.1或/etc/host中的任何IP。您应该知道，任何具有公开签名证书的FQDN都可以在证书透明日志中找到。此外，出于安全考虑，公共DNS可能无法可靠地解析到127.0.0.1或其他私有地址，但这在家庭网络上比在蔚蓝中更有可能。

让我们把证书加密90天。文章说要重新启动postgres来获取新的证书，但是这种强硬的方法会在重新启动时中断postgresql服务。在一段时间前的postgres 10中，可以在不重新启动服务器的情况下重新加载ssl证书。或中断了现有的客户端。因此，如果您最终使用的是加密，而不是每10天重新启动db服务器并导致中断，那么就发出重新加载。