上次更新: | 查看所有文档
Let's Encrypt 支持使用 ACME 客户端访问 ACME API 的 IPv6,以及在验证您对域名控制时进行的 DNS 查找和 HTTP 请求。
域名验证
当对同时具有 IPv4 和 IPv6 地址的域名(例如,A 和 AAAA 记录)进行出站域名验证请求时,Let's Encrypt 将始终优先使用 IPv6 地址进行初始连接。如果 IPv6 连接在网络级别失败(例如,超时),并且有 IPv4 地址可用,那么我们将使用其中一个 IPv4 地址重试请求。
不正确的 IPv6 地址
域名所有者通常不会意识到其域名存在 AAAA 记录。如果 AAAA 记录中的 IPv6 地址不正确,它将影响域名验证过程。
通常,IPv6 地址将与运行 ACME 客户端的 IPv4 地址所在的服务器不同。由于 ACME 客户端只配置了 IPv4 服务器来响应挑战,因此当使用 IPv6 服务器时,域名验证将失败。
在大多数情况下,正确的解决方案是更新 IPv6 地址以指向运行 ACME 客户端的服务器,或者如果域名不打算使用 IPv6,则删除 AAAA 记录。没有办法请求 Let's Encrypt 优先使用 IPv4,您必须修复错误配置。
IPv6 到 IPv4 重试详细信息
IPv6 到 IPv4 重试只发生在连接超时时,而不是其他类型的错误。
例如,在上面的“常见问题”场景中,如果 IPv6 地址上有一个正在监听的 Web 服务器,但该 Web 服务器未准备好回答 ACME 挑战,则不会发生重试。在这种情况下,访问 IPv6 地址将不会有连接超时,并且挑战将失败,不会重试,因为返回了错误的响应。
为了保持我们的 CA 软件简单,我们只在验证“http-01”挑战时对第一个请求执行 IPv6 到 IPv4 重试。如果您使用重定向,重定向将不会得到重试处理。
例如,如果一个域名有一个总是超时的 AAAA 记录和一个带有将 HTTP 重定向到 HTTPS 的 Web 服务器的 A 记录,那么 IPv6 到 IPv4 回退将无法正常运行。对域名的第一个请求将正确回退到 IPv4,收到从 HTTP 到 HTTPS 的重定向。后续请求将再次优先使用 IPv6 地址,但将超时,不会回退到 IPv4。您可以通过修复 IPv6 错误配置或删除对 ACME HTTP-01 挑战路径的请求的 HTTP 到 HTTPS 重定向来解决这种情况。
获取帮助
如果您需要帮助诊断与 IPv6 相关的问题,请访问我们的 社区论坛。