V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Xinu
V2EX  ›  域名

使用 acme.sh 申请泛域名证书 报错 DNSSEC: DNSKEY Missing

  •  
  •   Xinu · 171 天前 · 1389 次点击
    这是一个创建于 171 天前的主题,其中的信息可能已经有所发展或是发生改变。

    申请用到的命令如下

    ./acme.sh --issue --dns dns_ali -d '*.xx.xx' --server letsencrypt
    

    报错如下 2024624_cyt3e72bxp1719210186745.png

    我确定这个命令两个月以前是完全没问题的。不知道是哪个环境更新了要求

    查了一下这个错误

    DNSSEC 解释在这 https://www.alibabacloud.com/help/zh/dns/configure-dns-security-extensions

    目前这个几个服务商开通 DNSSEC 都需要花钱,没有免费的


    我的问题: 不想花钱的情况下,我该如何能让 acme.sh 正常工作,达到自动续签泛域名证书的目的?

    我最终的目的是 找到一个可以自动续签泛域名证书的工具。 或者有其它可以代替 acme.sh 的工具 也可以推荐给我,cloudflare 能做到泛域名自动续签么?

    感谢各位!!

    24 条回复    2024-06-30 11:55:40 +08:00
    hi2hi
        1
    hi2hi  
       171 天前   ❤️ 1
    我累了,现在都是 nginxproxymanager 来管理 nginx 和 ssl
    Xinu
        2
    Xinu  
    OP
       171 天前
    @hi2hi 有的服务器装了宝塔面板,它俩可能会冲突,宝塔的面板不支持泛域名续签。就很烦
    267263
        3
    267263  
       171 天前
    在阿里云访问控制那里,创建一个用户就行,可以不使用 DNSSEC 。acme 可以通过阿里云的 Key 和 Secret 访问阿里云账户,自动添加一个域名解析记录。也可以直接使用 http 验证,但是没有 dns 验证好。
    momooc
        4
    momooc  
       171 天前 via Android
    lego 了解一下,比这个好使
    leeiio
        5
    leeiio  
       171 天前
    你域名的 DNSSEC 配置检查下 https://dnssec-debugger.verisignlabs.com/
    holulu
        6
    holulu  
       171 天前
    cloudflare 只签一级子域名。如果你的域名是 example.com ,会给你一直签 example.com+*.example.com 的证书。
    enrolls
        7
    enrolls  
       171 天前
    看看我的 github, 之前用 chatgpt 辅助写下来的
    Xinu
        8
    Xinu  
    OP
       171 天前
    @267263 兄弟,你说的这些都设置过了。你看截图,验证是通过的,但是到了 lets 服务商这里就过不去了。之前这个是好用的,不知道服务方更新了什么,报错了这个
    baymax123456
        9
    baymax123456  
       171 天前
    @Xinu 1panel 支持泛域名,使用了很久,很不错。
    icaolei
        10
    icaolei  
       171 天前
    我用的 nginx-ui ,支持泛域名证书申请和自动续签,中文支持友好,个人感觉配置起来也比 NPM 要来得直观简单。
    adrianzhang
        11
    adrianzhang  
       171 天前
    CF 发邮件说过,证书签发机构不再签发泛域名证书。或许是因为这个原因。
    267263
        12
    267263  
       171 天前
    @Xinu 你是不是在其他地方也配了这个东西,产生冲突了。正常来说,是不需要 DNSSEC 的。
    ranaanna
        13
    ranaanna  
       171 天前
    显然你的 DNSKEY 以及 DS 记录有问题( DNSKEY missing ),但问题不一定出在你这边。比方说假设你注册的是 somename.com ,现在的问题是 com 名称服务器认为 somename.com 启用了 DNSSEC 并被分配、签署了密钥。出现这个问题很可能是域名注册商那边提供了错误的信息,不管是有无启用过 DNSSEC ,都需要注册商那边修复相关设置或者重新签署密钥。所以 @leeiio 说得对,在线检查下,或者 dig 一下。如果注册商提供的控制面板提供了开启、关闭 DNSSEC 选项,可以关闭开启一下试试,这两个记录一般是开启 DNSSEC 是生成的,并不需要手工输入
    ranaanna
        14
    ranaanna  
       171 天前
    @adrianzhang #11 有这事?几分钟前刚刚更新证书,letsencrypt 和 GTS 都还是可以的呀,而且都还是作为卖点在宣传的呀。是 CF 不再被签署给客户的通配符证书吧?但是这事儿跟这个应该没关系吧
    adrianzhang
        15
    adrianzhang  
       171 天前
    @ranaanna 我记不清了,CF 三月还是四月的邮件,是跟通配符有关。
    siguretto
        16
    siguretto  
       170 天前
    我的两个.top 域名也是这样,从昨天开始用 certbot 一直申请不到,提示 DNSSEC: DNSKEY Missing 。
    两个域名一个腾讯云,一个 cf ,无论是启用并设置好 DNSSEC 还是关闭了都申请不了。
    unbridle
        17
    unbridle  
       170 天前
    @siguretto #16 我擦我也是 top 域名出问题了,太无语了
    leeiio
        18
    leeiio  
       169 天前
    @adrianzhang 没有的事情,支持泛域名证书不支持其他验证方式,只支持 DNS 验证而已
    hyh0u0
        19
    hyh0u0  
       169 天前   ❤️ 1
    我也是有个.top 域名在 Let's Encrypt 这里死活报 DNSKEY missing ,dnsviz 和本地 dig 检查都没问题。https://community.letsencrypt.org/t/dns-problem-looking-up-a-for-xxx-domain-top-dnssec-dnskey-missing-no-valid-aaaa-records-found-for-xxx-domain-top/220650 官方论坛也有人反映 namesilo 和阿里云的都过不了。折腾两天换用 SSL.com 过了,用的 certbot ,教程是 https://www.ssl.com/how-to/order-free-90-day-ssl-tls-certificates-with-acme/ ,还没搞自动化。
    Xinu
        20
    Xinu  
    OP
       168 天前
    @hyh0u0
    @unbridle
    @siguretto

    我也是.top 难道跟这个域名有关?? 我最后用的是手动在 https://www.joyssl.com/ 申请的证书
    Xinu
        21
    Xinu  
    OP
       168 天前
    貌似还真是.top 域名的问题,我看你发的论坛地址里 有官方的人回复了

    @hyh0u0
    mtdhllf
        22
    mtdhllf  
       168 天前
    @Xinu #2 宝塔是支持泛域名续签的吧,我用的是 cf api key ,dns 验证的方式
    Xinu
        23
    Xinu  
    OP
       168 天前
    @mtdhllf 支持的,老版本不支持,现在的问题是也报错,应该是.top 域名和 Let's Encrypt 之间的问题
    zgqq
        24
    zgqq  
       165 天前
    我也是 top 域名有问题,可以换 zerossl 试试看
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2368 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 15:40 · PVG 23:40 · LAX 07:40 · JFK 10:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.