如何通过HTTP挑战更新通配符域的LetsEncrypt证书？

Question

我已经为我的通配符域*.example.com OK创建并安装了一个证书，使用一个dns挑战。到现在为止还好。

现在我想用cronjob来续签证书。我需要使用http挑战，因为我的DNS主机没有API机制让我自动创建TXT记录。我不明白的是如何告诉certbot/letsencrypt我的http服务器在哪里，因为域是一个通配符，没有指向我运行certbot的服务器。

Answer 1

你想要的是不可能的。根据https://letsencrypt.org/docs/faq/#does-let-s-encrypt-issue-wildcard-certificates，通配符证书必须通过DNS挑战完成。

这也被重声明--同时DNS提供程序也提示了https://letsencrypt.org/docs/challenge-types/。

如果你想一想，这是有道理的。如果不允许，则可以在请求者的权限受到怀疑的情况下签发证书。(即控制TLD网站的人将能够获得子域的通配符证书，而他们可能没有被授权)。另一方面，控制域的人自动拥有引导子域的能力。