Nginx Certbot/。知名度/极致挑战
我是否应该在服务器上始终公开/.well-known/acme挑战? 以下是我的HTTP配置:Nginx Certbot/。知名度/极致挑战,nginx,lets-encrypt,certbot,Nginx,Lets Encrypt,Certbot,我是否应该在服务器上始终公开/.well-known/acme挑战? 以下是我的HTTP配置: server { listen 80; location '/.well-known/acme-challenge' { root /var/www/demo; } location / { if ($scheme = http) { return 301 https://$server_name$request_uri;
server {
listen 80;
location '/.well-known/acme-challenge' {
root /var/www/demo;
}
location / {
if ($scheme = http) {
return 301 https://$server_name$request_uri;
}
}
它基本上将所有请求重定向到https,除了acme质询(用于自动续订)。我的问题:保持位置“/。众所周知的/acme challenge”始终暴露在端口80上可以吗?或者在需要重新颁发证书时,最好手动对其进行注释/取消注释?这有什么安全问题吗
任何关于此位置的建议或链接,请阅读。谢谢 Acme质询链接仅用于验证域到此ip地址文件名(
.well
)之前的时间段表示它是一个隐藏目录。如果您的服务器遭到黑客攻击,则黑客可以使用该信息。一旦您的证书被签名,您不需要保留可用的令牌。但是,让它可用也没有多大危害,因为:
从ACME服务器的角度来看,令牌是特定质询的一部分,在服务器尝试验证之后,该质询不再处于活动状态。它会透露一些关于您如何获得证书的信息,但不应允许其他人为您的站点颁发证书或冒充您
如果有人觉得这有帮助,我只是问我的主机客户支持,他们解释如下 是的,cPanel会按顺序自动创建“已知”文件夹 为AutoSL目的验证您的域。AutoSL是一个附加的 cPanel/WHM的功能为您的客户提供免费SSL证书 域,也称为自签名SSL证书。文件夹 。在域验证过程的时间为 AutoSL安装的一部分 而且它不是需要删除的文件,它不会导致任何错误 问题
我还了解到,它在验证期间用于临时文件,然后将其删除。所以我想这是正确的答案。谢谢什么时候核实?只有一次才能拿到证书?还是需要它?如果只需要获取证书,那么我假设您可以安全地删除.well-known目录…?是的,您可以在获取证书后删除它,但在续订时需要该文件夹!对不起,我指的是隐藏目录。您可以使用来编辑/更新您的答案