2026-02-23 00:02:20
该机制基于一份IETF草案规范,为广受欢迎的DNS-01方法提供了替代方案,但目前仅在其测试环境中提供支持,后续计划于2026年第二季度在生产环境中正式上线。当然,原有的DNS-01仍然完全受支持,但DNS-PERSIST-01改变了验证过程中证明域名控制权的方式。在传统的DNS-01方法中,每次签发或续期证书时,都需要在_acme-challenge.<域名>下发布一条新的TXT记录。ACME客户端会添加来自证书颁发机构的一次性Token,CA随后通过DNS查询进行验证。这种方法每次都能提供全新的DNS控制权证明,但也意味着需要不断更新DNS记录并等待其生效传播。DNS-PERSIST-01则完全改变了这一模式,允许设置永久授权记录。无需每次添加Token,只需在_validation-persist.<域名>创建一条持久的TXT记录,即可授权特定的ACME账户和CA为你的域名签发证书。典型的记录内容包括CA的颁发者域名和ACME账户URI。发布后,这条记录可用于后续的新证书签发和续期,无需再每次更新DNS记录。新方法还允许控制授权范围。默认情况下,授权仅覆盖已验证的特定域名,且永久有效。如果添加policy=wildcard参数,则可以签发通配符证书(亚汇网注:例如*.example.com),覆盖所有匹配的子域名。此外,用户还可以通过可选的persistUntil参数设置授权的有效期限。这个时间戳标明该记录可用于新验证的截止时间。过期后需要更新或替换记录,因此需留意避免意外失去授权。值得注意的是,可以同时授权多个证书颁发机构。只需在同一_validation-persist.<域名>标签下发布多条TXT记录,每条记录包含不同CA的颁发者域名即可。验证时,每个CA只会检查匹配自身标识的记录。广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,亚汇网所有文章均包含本声明。
您正在访问亚汇网香港分站,本站所提供的内容均遵守中华人民共和国香港特别行政区法律法规。
