| 登录 注册 |
--manual-auth-hook 是 Certbot 客户端在进行 手动 验证(例如,DNS 验证)时使用的一个钩子(hook)选项。它允许你在 Certbot 尝试挑战(challenge)你的域名之前,运行一个自定义脚本来完成验证过程。
核心概念:
* 手动验证 (Manual Authentication): Certbot 提供了多种验证域名所有权的方法。其中一种就是手动验证,它通常涉及在你的 DNS 记录中添加 TXT 记录,或者在你的 Web 服务器上放置特定文件。
* 钩子 (Hook): 钩子允许你在 Certbot 执行关键操作(如请求证书、续期证书、停止服务器等)之前或之后,运行自定义脚本。--manual-auth-hook 是一个预-认证钩子,意味着它在 Certbot 真正尝试进行验证之前运行。
* --manual-auth-hook 的作用: 当你使用 --manual-auth-hook 时,Certbot 不会自动尝试 DNS 验证或 HTTP 文件验证。相反,它会:
1. 生成验证信息: Certbot 会为你提供需要添加到 DNS 记录(通常是 TXT 记录)中的值,或者是需要在你的 Web 服务器上放置的文件内容和路径。
2. 运行你的脚本: Certbot 不会等待你手动完成,而是会立即调用你指定的 --manual-auth-hook 脚本。
3. 脚本负责: 你的脚本必须负责根据 Certbot 提供的验证信息,完成 DNS 记录的添加或文件的放置。
4. Certbot 继续: 一旦你的脚本执行完毕(通常是告诉 Certbot 验证已完成),Certbot 就会继续进行证书颁发过程。
为什么使用 --manual-auth-hook?
* 自动化 DNS 验证: 这是最常见的用途。如果你使用支持 API 的 DNS 提供商(如 Cloudflare, AWS Route 53, DigitalOcean 等),你可以编写一个脚本,利用该提供商的 API 自动添加 Certbot 所需的 TXT 记录。这样,你就可以在不手动干预的情况下进行 DNS 验证。
* 复杂的部署环境: 在一些特殊的服务器配置或 CI/CD 流程中,你可能需要更精细地控制验证过程。
* 非标准 Web 服务器: 如果你的 Web 服务器不是标准的 HTTP 服务器,或者你无法直接访问它来放置验证文件,--manual-auth-hook 可以帮助你。
如何使用 --manual-auth-hook?--manual-auth-hook 主要与 --manual 选项一起使用。
基本用法:bash
sudo certbot certonly \
--manual \
--preferred-challenges dns \
--manual-auth-hook /path/to/your/dns_hook.sh \
yourdomain.com www.yourdomain.com
解释:
* sudo certbot certonly: 请求 Certbot 仅颁发证书,不进行安装。
* --manual: 告诉 Certbot 使用手动模式。
* --preferred-challenges dns: 指定我们偏好使用 DNS 挑战(最适合自动化)。你也可以使用 http,但它不如 dns 适合自动化。
* --manual-auth-hook /path/to/your/dns_hook.sh: 指定你的自定义脚本的路径。
* yourdomain.com www.yourdomain.com: 你要申请证书的域名。
你的自定义脚本 (/path/to/your/dns_hook.sh) 的要求:
1. 可执行: 脚本必须具有执行权限 (chmod +x /path/to/your/dns_hook.sh)。
2. 接收环境变量: Certbot 会在运行你的脚本时设置几个重要的环境变量:
* CERTBOT_DOMAIN: 当前正在验证的域名。
* CERTBOT_VALIDATION: DNS 挑战所需的 TXT 记录值。
* CERTBOT_TOKEN: Certbot 生成的一个唯一令牌,通常与 CERTBOT_VALIDATION 一起用于 DNS TXT 记录。
* CERTBOT_AUTH_OUTPUT: (可选) 如果你在脚本中设置了这个变量,它的值将作为 auth.json 文件的一部分被 Certbot 记录。
3. 实现验证逻辑: 你的脚本需要读取这些环境变量,并根据它们来执行验证操作。
* DNS 验证: 使用 DNS 提供商的 API,在 _acme-challenge.<CERTBOT_DOMAIN> 的 TXT 记录下添加 CERTBOT_VALIDATION (或 CERTBOT_TOKEN.<CERTBOT_DOMAIN> 的 TXT 记录下添加 CERTBOT_VALIDATION)。
* HTTP 验证 (不推荐使用 --manual-auth-hook): 如果你坚持使用 HTTP 验证,脚本需要在 /path/to/webroot/.well-known/acme-challenge/ 目录下创建 CERTBOT_TOKEN 文件,并写入 CERTBOT_VALIDATION 的内容。
4. 成功/失败信号:
* 成功: 当验证操作 完成且已生效 (例如,DNS 记录已传播),你的脚本应该 成功退出 (退出码为 0)。
* 失败: 如果验证操作失败,你的脚本应该 失败退出 (退出码非 0)。
示例脚本 (Bash, 针对 DNS 验证,使用假设的 dns_api 命令):
“`bash
#!/bin/bash
DOMAIN=$CERTBOT_DOMAIN
VALIDATION=$CERTBOT_VALIDATION
TOKEN=$CERTBOT_TOKEN
echo “Attempting DNS challenge for domain: $DOMAIN”
echo “Validation token: $TOKEN”
echo “Validation value: $VALIDATION”
RECORD_NAME=“_acme-challenge.$DOMAIN”
RECORD_VALUE=“$VALIDATION”
echo “Adding TXT record: $RECORD_NAME = $RECORD_VALUE”
if dns_api add-txt-record –zone “$DOMAIN” –name “$RECORD_NAME” –value “$RECORD_VALUE”; then
echo “TXT record added successfully. Please allow some time for DNS propagation.”
# 重要的:DNS 记录需要时间传播。
# 你可能需要在此处添加一个 sleep 或等待 DNS 传播的逻辑。
# 简单示例:等待 60 秒 (生产环境中可能需要更智能的检查)
sleep 60
echo “Assuming DNS propagation is complete. Proceeding.”
exit 0 # 成功退出
else
echo “Failed to add TXT record. Please check your DNS API configuration and credentials.”
exit 1 # 失败退出
fi
**重要注意事项和最佳实践:**
1. **DNS 传播延迟:** DNS 记录的传播需要时间。你的脚本需要处理这一点。
* **简单但不可靠:** `sleep` 一个固定的时间(例如 60 秒)。这适用于测试,但可能导致不必要的等待或验证失败。
* **更智能的等待:** 编写脚本来查询 DNS 记录,直到它返回正确的值。这通常需要 `dig` 或其他 DNS 查询工具,并且需要一些逻辑来处理 CNAME 记录等情况。
* **使用 API 的"延迟"提示:** 一些 DNS API 可能会告诉你何时记录已提交,但未保证完全传播。
2. **API 认证:** 你的脚本需要访问你的 DNS 提供商的 API。确保你已经设置了 API 密钥、令牌或 OAuth 凭证,并且你的脚本能够安全地访问它们(例如,通过环境变量,而不是硬编码在脚本中)。
3. **清理 (Cleanup):** 当 Certbot 完成证书的颁发或续期后,它会运行 `--manual-clean-hook` 脚本(如果你设置了)。你应该在清理脚本中删除你添加的 TXT 记录,以保持 DNS 整洁。
sudo certbot renew \
–manual \
–preferred-challenges dns \
–manual-auth-hook /path/to/your/dns_hook.sh \
–manual-clean-hook /path/to/your/dns_clean_hook.sh
“
你的脚本需要实现删除 TXT 记录的逻辑。certbot renew –dry-run
4. **测试:** 在实际部署之前,务必 thoroughly 测试你的钩子脚本。
* **Dry Run:** 使用来模拟续期过程,看看你的钩子是否被调用以及是否按预期工作。–manual-auth-hook
* **手动测试脚本:** 在没有 Certbot 的情况下,单独运行你的钩子脚本,确保它能正确地与 DNS API 交互。
5. **Certbot 配置:** 第一次使用时,Certbot 会提示你是否要保存这些设置。保存它们将使你以后在运行certbot renew时自动使用这些钩子。–manual
6. **vs.–manual-auth-hook:**–manual
*: Certbot 会提示你手动输入所需的值,并在你确认后等待。–manual –manual-auth-hook
*: Certbot **不会**提示你,而是直接调用你的脚本。你的脚本**必须**自己处理验证。–manual-auth-hook
**总结:**是一个强大的工具,用于自动化 Certbot 的 DNS 验证过程。它的关键在于编写一个能够与你的 DNS 提供商 API 交互的自定义脚本,该脚本能够根据 Certbot 提供的环境变量(CERTBOT_DOMAIN,CERTBOT_VALIDATION,CERTBOT_TOKEN`)来添加(或删除)必要的 DNS TXT 记录。记住处理 DNS 传播延迟和进行充分的测试。