是否有一种方法可以创建Cloudflare API令牌，使其只能编辑特定*子*域的记录？

Question

我希望我们可以对几个域和子域以及我的公司进行加密。与购买安装在每台机器上的持久通配卡证书不同，它的目标是使用短期和特定的证书。这是为了防止我们的暴露，如果一台机器被破坏。

不幸的是，一些服务器不能有任何服务中断(又名。没有HTTP挑战能力)。所以最后一种选择是DNS挑战。对于我们的DNS提供程序，这需要一个API令牌，在本例中是Cloudflare。

但是，如果我将Global令牌放置在机器上并使其受到破坏，攻击者就可以完全访问我们整个域的DNS。这正是我想通过不使用通配符证书来减轻的。

Cloudflare让我们创建更少特权的令牌，但是它们不会比每个根级别的域获得更多的粒度。同样，与通配符证书本质上相同的访问/关注。

有人想出解决这个问题的办法吗？

Answer 1

我的解决方案是构建一个驻留在内部网络上的服务，该服务被完全锁定，并持有Global密钥。此服务将使用此键为各个子域创建/更新证书。依赖子域证书的服务器将具有可针对此内部服务发出的每个域令牌，以检索新的或更新的证书。

Answer 2

我过去对这一要求采取的方法(我相信这是我们加密文档所赋予的)是CNAME的_acme-challenge子域，您希望对一个或多个具有不同访问控制配置的区域中的名称(S)进行验证。

例如，如果希望某些服务只为bobservice.example.com生成证书，则可以为其他域(比如bobservice.example )创建一个单独的区域，然后为CNAME _acme-challenge.bobservice.com到_acme-challenge.bobservice.example创建一个单独的区域。然后，挑战令牌被放置在_acme-challenge.bobservice.example上的TXT记录中，LE遵循CNAME，并且名称被验证。

当然，另一种选择是完全放弃使用Cloudflare，因为他们的服务缺乏有用的功能，比如范围有限的凭据，以及向互联网上的渣滓提供服务的微小问题。

Answer 3

不幸的是，一些服务器不能有任何服务中断(又名。没有HTTP挑战能力)。所以最后一种选择是DNS挑战。

对于您的场景，还有另一个选项，即webroot插件。这允许您告诉客户端加密到服务器的web根目录的路径，并将HTTP挑战文件放在那里。这种方法根本不影响您的and服务器，也不会导致停机。