对于申请泛域名证书 *.a.com;a.com。

_acme-challenge.a.com CNAME a.com.validationserver.b.com 这样不行

_acme-challenge.a.com CNAME _acme-challenge.validationserver.b.com 这样才可以。

实施细节

我的要求:既能申请各种域名证书,又最小化暴露dns-01验证所要求的域名控制权。这里只需要使用一个注册的域名。

原理解析:

1. 如果你的要获取证书的域名 a.com 在DNSPod,为你的任意子域,如 acme.a.com 添加NS记录托管到阿里云解析。这里通过NS服务商来物理上划分权限。
2. 添加CNAME _acme-challenge.a.com ---> _acme-challenge.acme.a.com,为下一步传递TXT记录做准备。
3. 我把 acme.a.com 作为承担所有dns-01验证任务的专用域名。由于这个域名托管在阿里云,所以无论怎样操作、密钥泄露都不会影响到dnspod上的主域名记录。
4. 给阿里云上的RAM子用户提供有限的操作权、可以实现按资源组授权来实现最小化授权。

alidns:DescribeDomains (唯独这个操作不支持区分资源组,只能全局授权,可以查到阿里云解析账户上托管的所有域名)
alidns:DescribeDomainRecords 
alidns:AddDomainRecord
alidns:UpdateDomainRecord
alidns:DeleteDomainRecord

5. 在 Certimate 上配置工作流,授权选阿里云。go-acme/lego会自己查到cname记录,并在_acme-challenge.acme 上添加解析,完成验证。