生成或更新数字海洋上负载平衡的nginx服务器的加密certbot证书

Question

有人知道怎么做吗？是否有可能。

我遵循了这个数字海洋教程，它可以工作，但缺乏如何在多个域和多个应用程序的真实世界场景中应用这个功能的信息。

我知道如何使用certbot生成和更新证书。但是，当IP地址通过负载均衡器时，两者都不起作用。

将每个IP地址从负载均衡器更改到nginx服务器，更新然后将ip地址的负载更改回负载均衡器，并复制粘贴证书的内容似乎是不切实际的。有没有更好的解决办法？

编辑。不需要更改ip地址，只需将除一个nginx服务器之外的所有服务器从负载均衡器中分离出来，然后在此液滴上进行更新即可。然而，certbot需要是最近的版本。从2016年起安装了certbot，这是行不通的。

额外的问题。在将另一个nginx服务器连接回负载均衡器后，必须手动复制证书。

将证书附加到负载均衡器本身也是一项手动任务，只能有一个证书来转发443到80。

Answer 1

@ceejayoz指出

这种情况就是为什么让我们加密支持基于DNS的质询/auth

您应该使用certbot的DNS功能。这将要求您将一个新的TXT记录添加到DNS记录中，然后certbot将对这些记录进行验证。这消除了将HTTP请求发送到负载平衡计算机的必要性。

或者，您也可以在所有LB系统上设置相同的挑战，这样无论certbot客户端对哪个主机进行检查，它都会返回该挑战。如果让certbot执行standalone模式，这显然是行不通的。