Amazon web services 无法发布Let'；s加密AWS路由53域的证书_Amazon Web Services_Amazon Route53_Lets Encrypt_Certbot_Dokku

Amazon web services 无法发布Let'；s加密AWS路由53域的证书

amazon-web-services

Amazon web services 无法发布Let'；s加密AWS路由53域的证书,amazon-web-services,amazon-route53,lets-encrypt,certbot,dokku,Amazon Web Services,Amazon Route53,Lets Encrypt,Certbot,Dokku,我有一个数码海洋水滴，上面有Dokku。我还有一个AWS Route 53托管区域（该域在其他地方注册，我将名称服务器更改为Route 53）。在该托管区域中，我创建了一个指向我的液滴的A记录 A记录似乎工作正常（我可以通过域从Postman访问我的Dokku容器）：我现在正试图为我的域颁发“让我们加密”证书。我用这个。但是，我收到以下错误： CA marked some of the authorizations as invalid, which likely means it coul

我有一个数码海洋水滴，上面有Dokku。我还有一个AWS Route 53托管区域（该域在其他地方注册，我将名称服务器更改为Route 53）。在该托管区域中，我创建了一个指向我的液滴的A记录

A记录似乎工作正常（我可以通过域从Postman访问我的Dokku容器）：

我现在正试图为我的域颁发“让我们加密”证书。我用这个。但是，我收到以下错误：

CA marked some of the authorizations as invalid, which likely means it could not access http://example.com/.well-known/acme-challenge/X. Did you set correct path in -d example.com:path or --default_root? Are all your domains accessible from the internet? Please check your domains' DNS entries, your host's network/firewall setup and your webserver config. If a domain's DNS entry has both A and AAAA fields set up, some CAs such as Let's Encrypt will perform the challenge validation over IPv6. If your DNS provider does not answer correctly to CAA records request, Let's Encrypt won't issue a certificate for your domain (see https://letsencrypt.org/docs/caa/). Failing authorizations: https://acme-v02.api.letsencrypt.org/acme/authz-v3/5705758732
Challenge validation has failed, see error log.

错误提供的错误包含以下内容：

DNS problem: SERVFAIL looking up A for gmail-bot.bloberenober.dev - the domain's nameservers may be malfunctioning

我在上执行了一个查询，结果对我来说有点神秘，但这是最后几行：

Jul 06 18:40:21 unbound[5640:0] info: Missing DNSKEY RRset in response to DNSKEY query.
Jul 06 18:40:21 unbound[5640:0] info: Could not establish a chain of trust to keys for bloberenober.dev. DNSKEY IN
Jul 06 18:40:21 unbound[5640:0] info: 127.0.0.1 gmail-bot.bloberenober.dev. A IN SERVFAIL 6.743746 0 44

我做了一些研究，发现DNSKEY记录是DNSSEC的一部分，显然，对于现有域，路由53不支持：

Amazon Route 53支持DNSSEC进行域注册。但是，无论域是否已向路由53注册，路由53都不支持DNS服务的DNSSEC。如果要为已在路由53中注册的域配置DNSSEC，则必须使用其他DNS服务提供商或设置自己的DNS服务器

我还尝试手动运行certbot，并向我的托管区域添加了一条TXT记录，但收到了类似的错误：

Failed authorization procedure. gmail-bot.bloberenober.dev (dns-01): urn:ietf:params:acme:error:dns :: DNS problem: SERVFAIL looking up TXT for _acme-challenge.gmail-bot.bloberenober.dev - the domain's nameservers may be malfunctioning

所讨论的域是gmail bot.bloberenober.dev

我做错了什么？我甚至可以为这种情况颁发Let's Encrypt证书吗？

我通过将DNS服务提供商改为CloudFlare而不是Route 53解决了这个问题。他们提供DNSSEC支持和一个现成的通用SSL证书，这足以满足我的需要，因此最终我根本不需要颁发Let's Encrypt证书。

看起来gmail-bot.bloberenober.dev正在解析本地主机（127.0.0.1）。