proxmox 用に サーバ証明書を 使いたくて chatGPT に いろいろしつもして 自前の DNSサーバ NSD でも できるんじゃね? って ところまで 来たので 設定に ちゃれんじしてみたら ハルシネーション が 起きてきたことが 判明した。
TL;DR
簡単には できない。
↓の記事によると 何とかできるようですが、私にはむずかしい
https://hachu.net/security/230228/letsencrypt-dns.html
なんで DNS-01チャレンジなのか
proxmox は インターネットから アクセスさせないサーバだから
http-01 チャレンジは 使えない
chatGPTで 質問したら でてきたから
手動で ゾーンファイル を 書き換えればできる
自動に しておかないと 90日で、 期限切れになる。
自動化には こだわりたい。
ハルシネーションの罠
bindの設定を あたかもNSDの設定かのように 回答する
NSDのマニュアルを読むと 言われた 設定は なく
設定してみると エラーになる(当たり前)
簡単そうな 別の切り口を提案してくる
ゾーンファイルを修正して reload したら と 簡単そうに いうが SOAレコードの更新まで 意識してくれない
TTL短くしておけば いいのかなぁ
今後の方針
- いまのまま 証明書が 健全じゃないじょうたいのまま 使い続ける
- 自前のルートサーバを 作って proxmox 用に証明書を払い出し、クライアントPCに設定する
- 自動更新が できる DNSツールに 乗り換える
- 自動更新が できる DNSサービスを 借りる
つづく… かな?
さっそく追記↓
自動更新が できる DNSツールに 乗り換える
chatGPT に 質問したら bind、Knot DNS、PowerDNS と 3つ あげてきた。
bind は すてたし、 PowerDNS は DBつかうのが いまいちなところにKnot DNS を 使った例が 検索したら 見つかった。
証明書を更新するときだけ Knot DNSを 起動する 例が あった。
これ いいかもしれない。でも IPv6 つかってないから IPどうしようか。