使用 acme.sh 申请泛域名证书 报错 DNSSEC: DNSKEY Missing

6 天前
 Xinu

申请用到的命令如下

./acme.sh --issue --dns dns_ali -d '*.xx.xx' --server letsencrypt

报错如下

我确定这个命令两个月以前是完全没问题的。不知道是哪个环境更新了要求

查了一下这个错误

DNSSEC 解释在这 https://www.alibabacloud.com/help/zh/dns/configure-dns-security-extensions

目前这个几个服务商开通 DNSSEC 都需要花钱,没有免费的


我的问题: 不想花钱的情况下,我该如何能让 acme.sh 正常工作,达到自动续签泛域名证书的目的?

我最终的目的是 找到一个可以自动续签泛域名证书的工具。 或者有其它可以代替 acme.sh 的工具 也可以推荐给我,cloudflare 能做到泛域名自动续签么?

感谢各位!!

884 次点击
所在节点    域名
24 条回复
hi2hi
6 天前
我累了,现在都是 nginxproxymanager 来管理 nginx 和 ssl
Xinu
6 天前
@hi2hi 有的服务器装了宝塔面板,它俩可能会冲突,宝塔的面板不支持泛域名续签。就很烦
267263
6 天前
在阿里云访问控制那里,创建一个用户就行,可以不使用 DNSSEC 。acme 可以通过阿里云的 Key 和 Secret 访问阿里云账户,自动添加一个域名解析记录。也可以直接使用 http 验证,但是没有 dns 验证好。
momooc
6 天前
lego 了解一下,比这个好使
leeiio
6 天前
你域名的 DNSSEC 配置检查下 https://dnssec-debugger.verisignlabs.com/
holulu
6 天前
cloudflare 只签一级子域名。如果你的域名是 example.com ,会给你一直签 example.com+*.example.com 的证书。
enrolls
6 天前
看看我的 github, 之前用 chatgpt 辅助写下来的
Xinu
6 天前
@267263 兄弟,你说的这些都设置过了。你看截图,验证是通过的,但是到了 lets 服务商这里就过不去了。之前这个是好用的,不知道服务方更新了什么,报错了这个
baymax123456
6 天前
@Xinu 1panel 支持泛域名,使用了很久,很不错。
icaolei
6 天前
我用的 nginx-ui ,支持泛域名证书申请和自动续签,中文支持友好,个人感觉配置起来也比 NPM 要来得直观简单。
adrianzhang
6 天前
CF 发邮件说过,证书签发机构不再签发泛域名证书。或许是因为这个原因。
267263
6 天前
@Xinu 你是不是在其他地方也配了这个东西,产生冲突了。正常来说,是不需要 DNSSEC 的。
ranaanna
6 天前
显然你的 DNSKEY 以及 DS 记录有问题( DNSKEY missing ),但问题不一定出在你这边。比方说假设你注册的是 somename.com ,现在的问题是 com 名称服务器认为 somename.com 启用了 DNSSEC 并被分配、签署了密钥。出现这个问题很可能是域名注册商那边提供了错误的信息,不管是有无启用过 DNSSEC ,都需要注册商那边修复相关设置或者重新签署密钥。所以 @leeiio 说得对,在线检查下,或者 dig 一下。如果注册商提供的控制面板提供了开启、关闭 DNSSEC 选项,可以关闭开启一下试试,这两个记录一般是开启 DNSSEC 是生成的,并不需要手工输入
ranaanna
6 天前
@adrianzhang #11 有这事?几分钟前刚刚更新证书,letsencrypt 和 GTS 都还是可以的呀,而且都还是作为卖点在宣传的呀。是 CF 不再被签署给客户的通配符证书吧?但是这事儿跟这个应该没关系吧
adrianzhang
6 天前
@ranaanna 我记不清了,CF 三月还是四月的邮件,是跟通配符有关。
siguretto
5 天前
我的两个.top 域名也是这样,从昨天开始用 certbot 一直申请不到,提示 DNSSEC: DNSKEY Missing 。
两个域名一个腾讯云,一个 cf ,无论是启用并设置好 DNSSEC 还是关闭了都申请不了。
unbridle
5 天前
@siguretto #16 我擦我也是 top 域名出问题了,太无语了
leeiio
5 天前
@adrianzhang 没有的事情,支持泛域名证书不支持其他验证方式,只支持 DNS 验证而已
hyh0u0
4 天前
我也是有个.top 域名在 Let's Encrypt 这里死活报 DNSKEY missing ,dnsviz 和本地 dig 检查都没问题。https://community.letsencrypt.org/t/dns-problem-looking-up-a-for-xxx-domain-top-dnssec-dnskey-missing-no-valid-aaaa-records-found-for-xxx-domain-top/220650 官方论坛也有人反映 namesilo 和阿里云的都过不了。折腾两天换用 SSL.com 过了,用的 certbot ,教程是 https://www.ssl.com/how-to/order-free-90-day-ssl-tls-certificates-with-acme/ ,还没搞自动化。
Xinu
4 天前
@hyh0u0
@unbridle
@siguretto

我也是.top 难道跟这个域名有关?? 我最后用的是手动在 https://www.joyssl.com/ 申请的证书

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1052111

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX