主題: 內網的系統的https，若不想要都透過Let's encrypt去申請密鑰，由推薦做法嗎?

[stuart3501]

各位大大好
小弟現在在管的server中有需要https才能進入的管理介面，也有如HARBOR這樣只走https的
因這些都不需要出外網
網域都是由內部的BIND9控制，帳號密碼都是由OpenLDAP控制
每個網域都要去外部註冊一筆A record
再到Let's encrypt去申請密鑰才不會被瀏覽器等等判定為insecure
請問是否有軟體可以在內網架設，管理這些key呢？

[twu2]

let's encrypt 現在已支援 * 的網址, 所以只要申請一個一起用就可以 (當然內外部都要掛在某個網域之下).

DNS 是自己管的嗎? 如果不是自己管, 可以利用 script 就變動 DNS 的內容嗎?
如果可以的話, 改用 DNS 的方式驗證就可以更新 let's encrypt 的憑證. 拿到憑證就可以給所有的機器一起用了.

在 dehydrated (letsencrypt.sh) 是使用 HOOK 去指定更新 dns 的 script, 裡面用 nsupdate (如果是用 bind) 在該 domain 加上一筆 _acme-challenge 的 TXT 給 let's encrypt 驗證就可以 (在這個 script 要確定所有的 NS 都更新再返回).