پہلے سے طے شدہ طور پر، چلو انکرپٹ ملکیت کی تصدیق کے لیے HTTP-01 چیلنج کا استعمال کرتا ہے۔ HTTP-01 چیلنج آپ کے ویب سرور کے ویبروٹ پر ایک فائل رکھتا ہے اور فائل لانے کے لیے ویب سرور کا DNS نام استعمال کرتا ہے۔ اگر فائل انٹرنیٹ سے حاصل کی جا سکتی ہے تو، ڈومین نام کی اتھارٹی کی تصدیق کی جاتی ہے اور SSL سرٹیفکیٹ جاری کیا جاتا ہے۔ یہ زیادہ تر سرورز اور گھریلو صارفین کے لیے اچھا ہے جو اپنے انٹرنیٹ سروس فراہم کنندہ (ISP) سے عوامی IP ایڈریس برداشت کر سکتے ہیں۔
لیکن، اگر آپ اپنے گھریلو نیٹ ورک یا نجی/اندرونی نیٹ ورک کے ڈومین ناموں کے لیے لیٹس انکرپٹ SSL سرٹیفکیٹ استعمال کرنا چاہتے ہیں تو کیا ہوگا؟ ٹھیک ہے، زیادہ تر گھریلو نیٹ ورکس میں، Let’s Encrypt SSL سرٹیفکیٹ حاصل کرنا ایک چیلنج ہے کیونکہ غالب امکان ہے کہ آپ کا ISP آپ کو عوامی IP ایڈریس نہیں دے گا۔ لہذا، آپ Let’s Encrypt HTTP-01 چیلنج پاس نہیں کر پائیں گے (کیونکہ آپ کے کمپیوٹر/سرور انٹرنیٹ سے قابل رسائی نہیں ہیں)۔
اس صورت میں، آپ اپنے گھر/اندرونی نیٹ ورک کے لیے SSL سرٹیفکیٹ حاصل کرنے کے لیے Let’s Encrypt DNS-01 چیلنج استعمال کر سکتے ہیں۔ اس طریقے میں، چلو انکرپٹ آپ کے DNS سرور پر 'subdomain _acme-challenge.yourdomain.xyz' کے لیے DNS TXT ریکارڈ شامل کرتا ہے اور چیک کرتا ہے کہ آیا DNS TXT ریکارڈ انٹرنیٹ سے دستیاب ہے۔ اگر TXT ریکارڈ مماثل ہے، تو آپ ڈومین کے مالک کے طور پر تصدیق شدہ ہیں اور آئیے انکرپٹ SSL سرٹیفکیٹ جاری کرتے ہیں۔
Let’s Encrypt DNS-01 چیلنج کام کرنے اور SSL سرٹیفکیٹ کی خود بخود تجدید کے لیے، آپ کو ایک DNS سروس فراہم کنندہ (یعنی CloudFlare، DigitalOcean) استعمال کرنا چاہیے جو ایک API کو ظاہر کرتا ہے جسے DNS سرور پر TXT ریکارڈز کو شامل کرنے/ ہٹانے کے لیے استعمال کیا جا سکتا ہے۔
اگر آپ کے DNS رجسٹرار (جہاں آپ نے ڈومین کا نام رجسٹر کیا ہے) کے پاس ایسی خدمات کے لیے سپورٹ نہیں ہے، تو آپ تھرڈ پارٹی DNS سروس فراہم کنندہ استعمال کر سکتے ہیں۔ آپ کو بس اپنے ڈومین کا DNS نیم سرور ایڈریس اپنے DNS رجسٹرار کے DNS سرور سے اپنے مطلوبہ تیسرے فریق DNS سروس فراہم کنندہ کے DNS نیم سرور ایڈریس میں تبدیل کرنا ہے۔
مواد کا موضوع:
- ڈی این ایس فراہم کنندگان کی فہرست جو آئیے انکرپٹ ڈی این ایس کی توثیق کے ساتھ آسانی سے ضم ہو جاتے ہیں
- آئیے انکرپٹ ACME کلائنٹس کی فہرست
- اپنے ڈومین رجسٹرار سے ڈی این ایس نیمسرور کو تبدیل کرنا
- لیٹس انکرپٹ DNS-01 کی توثیق کے فوائد
- Let's Encrypt DNS-01 کی توثیق کے نقصانات
- نتیجہ
- حوالہ جات
ڈی این ایس فراہم کنندگان کی فہرست جو آئیے انکرپٹ ڈی این ایس کی توثیق کے ساتھ آسانی سے ضم ہو جاتے ہیں
لیٹس انکرپٹ کمیونٹی نے مرتب کیا a DNS فراہم کنندگان کی فہرست جو DNS ریکارڈز کو خود بخود شامل/ہٹانے کے لیے کسی قسم کے API کو بے نقاب کرتا ہے تاکہ Let’s Encrypt کلائنٹس ڈومین کے ناموں کی توثیق کر سکیں اور SSL سرٹیفکیٹ جاری کر سکیں۔
DNS فراہم کنندگان کی فہرست جو Let's Encrypt DNS کی توثیق کے ساتھ آسانی سے ضم ہو جاتی ہے اس پر مل سکتی ہے۔ یہ لنک .
آئیے انکرپٹ ACME کلائنٹس کی فہرست
آئیے انکرپٹ کلائنٹس کو ACME کلائنٹس بھی کہا جاتا ہے۔ ACME کا مطلب خودکار سرٹیفکیٹ مینجمنٹ انوائرمنٹ ہے۔ ACME کمپیوٹر/سرور اور سرٹیفکیٹ اتھارٹی (یعنی آئیے انکرپٹ کریں) کے درمیان تعامل کو خودکار کرنے کا پروٹوکول ہے۔
سب سے زیادہ مقبول Let's Encrypt ACME کلائنٹس ہیں:
اپنے ڈومین رجسٹرار سے ڈی این ایس نیمسرور کو تبدیل کرنا
اگر آپ کا ڈومین رجسٹرار DNS فراہم کنندگان کی فہرست میں نہیں ہے جو Let's Encrypt کے ساتھ آسانی سے ضم ہو جاتا ہے، تو آپ CloudFlare یا دوسرے فریق ثالث DNS سروس فراہم کنندگان کا استعمال کر سکتے ہیں۔ آپ کو بس اپنے ڈومین کے DNS نیم سرور کو اپنے ڈومین رجسٹرار کے ڈیش بورڈ سے تیسرے فریق DNS سروس فراہم کنندہ کے DNS نیم سرور میں تبدیل کرنا ہے جسے آپ استعمال کرنا چاہتے ہیں۔
ہم نے آپ کو درج ذیل اسکرین شاٹ میں اپنے ڈومین رجسٹرار (جہاں ہم نے اپنا ڈومین نام رجسٹر کیا ہے) کے ڈیش بورڈ/ویب سائٹ سے اپنے ڈومینز میں سے ایک کے لیے DNS نیم سرور (CloudFlare کے DNS سرور میں) تبدیل کرنے کا عمل دکھایا۔ عمل آپ کے ڈومین رجسٹرار کے لیے ایک جیسا ہونا چاہیے۔ مزید معلومات کے لیے، اپنے ڈومین رجسٹرار کی دستاویزات پڑھیں یا ان سے رابطہ کریں۔
لیٹس انکرپٹ DNS-01 کی توثیق کے فوائد
Let's Encrypt کے DNS-01 کی توثیق کے فوائد یہ ہیں:
- اسے عوامی/انٹرنیٹ قابل رسائی IP ایڈریس یا ویب سرور کی ضرورت نہیں ہے۔
- آپ اسے وائلڈ کارڈ ڈومین ناموں (یعنی *.nodekite.com، *.linuxhint.com) کے لیے SSL سرٹیفکیٹ جاری کرنے کے لیے استعمال کر سکتے ہیں۔
- یہ متعدد ویب سرورز کے لیے اچھا کام کرتا ہے۔
Let's Encrypt DNS-01 کی توثیق کے نقصانات
اگرچہ Let’s Encrypt DNS-01 کی توثیق کے بہت سے فوائد ہیں، لیکن اس کے کچھ نقصانات بھی ہیں:
- DNS-01 کی توثیق کے کام کرنے کے لیے، آپ کو سرور پر اپنے DNS سروس فراہم کنندہ کی API کلید/ٹوکن رکھنے کی ضرورت ہے جسے Let's Encrypt کلائنٹ DNS-01 کی توثیق کے لیے DNS سرور پر TXT ریکارڈ بنانے کے لیے استعمال کرے گا۔ جیسا کہ API کلید/ٹوکن سرور پر رکھا جاتا ہے، اگر سرور ہیک ہو جاتا ہے، تو اس بات کا امکان ہے کہ API کلید/ٹوکن سے سمجھوتہ کیا جائے گا۔
- Let’s Encrypt کلائنٹ کے DNS سرور پر ایک TXT ریکارڈ شامل کرنے کے بعد، دنیا بھر میں دیگر DNS نیم سرورز میں تبدیلیوں کو پھیلانے میں کچھ وقت لگتا ہے۔ Let’s Encrypt کلائنٹ کو ڈومین کی ملکیت کی تصدیق کرنے کے لیے دنیا بھر میں عام DNS نیم سرورز میں تبدیلیوں کا انتظار کرنے کی ضرورت ہے۔ اگر آپ کا DNS سروس فراہم کنندہ API میں DNS پروپیگیشن کا وقت فراہم نہیں کرتا ہے، تو Let's Encrypt کلائنٹ کو یہ معلوم نہیں ہوگا کہ DNS تبدیلیوں کو دنیا بھر کے دیگر نام سرورز پر پھیلانے کے لیے کتنا انتظار کرنا ہے۔ اس صورت میں، DNS کی توثیق کا وقت ختم ہو سکتا ہے، اور Let's Encrypt SSL سرٹیفکیٹ جاری کرنے میں ناکام ہو سکتا ہے۔
نتیجہ
اس مضمون میں، ہم نے چلو انکرپٹ DNS-01 چیلنج پر تبادلہ خیال کیا اور اسے ڈومین نام کی ملکیت کی تصدیق کے لیے پہلے سے طے شدہ HTTP-01 چیلنج پر کیوں استعمال کریں۔ ہم نے Let's Encrypt SSL سرٹیفکیٹ حاصل کرنے کے لیے Let's Encrypt DNS-01 چیلنج کو پاس کرنے کے تقاضوں پر بھی تبادلہ خیال کیا۔ ہم نے DNS سروس فراہم کنندگان کو درج کیا جو Let's Encrypt کے ساتھ ساتھ Let's Encrypt ACME کلائنٹس کے ساتھ اچھی طرح سے مربوط ہیں جنہیں آپ اپنے کمپیوٹر/سرور سے DNS کی توثیق کرنے کے لیے استعمال کر سکتے ہیں۔ آخر میں، ہم نے لیٹس انکرپٹ ڈی این ایس کی توثیق کے فوائد اور نقصانات پر تبادلہ خیال کیا۔
حوالہ جات:
- چیلنج کی قسمیں - آئیے انکرپٹ کریں۔
- ڈی این ایس فراہم کنندگان جو آسانی سے لیٹس انکرپٹ ڈی این ایس کی توثیق کے ساتھ مل جاتے ہیں - ایشوانس ٹیک - آئیے کمیونٹی سپورٹ کو انکرپٹ کریں
- خودکار سرٹیفکیٹ مینجمنٹ ماحولیات - ویکیپیڈیا
- سرٹ بوٹ
- GitHub - acmesh-official/acme.sh: ACME کلائنٹ پروٹوکول کو نافذ کرنے والا خالص یونکس شیل اسکرپٹ
- انسٹالیشن :: آئیے گو میں لکھی گئی کلائنٹ اور ACME لائبریری کو انکرپٹ کریں۔
- گھر - پوش-ACME