BunkerWeb中RFC2136 DNS验证的凭证配置详解

背景介绍

BunkerWeb作为一款现代化的Web应用防火墙和反向代理解决方案，支持通过Let's Encrypt自动获取SSL/TLS证书。对于使用RFC2136 DNS验证方式的用户，正确配置DNS凭证是实现自动化证书管理的关键步骤。

RFC2136验证机制

RFC2136是一种基于TSIG（事务签名）的DNS动态更新协议，允许通过安全的方式对DNS记录进行修改。在证书颁发过程中，Let's Encrypt会要求申请者在域名DNS中创建特定的TXT记录来验证域所有权。

传统配置方式

在标准的Certbot客户端中，RFC2136验证通常通过INI格式的配置文件实现，包含以下关键参数：

dns_rfc2136_server = DNS服务器地址
dns_rfc2136_port = DNS服务器端口
dns_rfc2136_name = TSIG密钥名称
dns_rfc2136_secret = TSIG密钥
dns_rfc2136_algorithm = 加密算法

BunkerWeb的特殊配置方法

由于BunkerWeb采用环境变量方式管理配置，需要将上述INI格式转换为特定的环境变量格式：

1. 移除所有dns_rfc2136_前缀
2. 将等号=替换为空格
3. 使用LETS_ENCRYPT_DNS_CREDENTIAL_ITEM作为基础变量名
4. 为每个参数添加数字后缀形成序列

转换示例：

LETS_ENCRYPT_DNS_CREDENTIAL_ITEM=server 192.168.x.x
LETS_ENCRYPT_DNS_CREDENTIAL_ITEM_1=port 53
LETS_ENCRYPT_DNS_CREDENTIAL_ITEM_2=name revproxy
LETS_ENCRYPT_DNS_CREDENTIAL_ITEM_3=algorithm HMAC-SHA256
LETS_ENCRYPT_DNS_CREDENTIAL_ITEM_4=secret randomlookingsecret

技术细节说明

1. 服务器地址：应填写可访问的DNS服务器IP，可以是内网或外网地址
2. 端口号：通常为53，但某些部署可能使用非标准端口
3. TSIG密钥：需要确保与DNS服务器上配置的密钥完全一致，包括大小写
4. 算法选择：HMAC-SHA256是目前推荐的安全算法，也支持HMAC-MD5等较旧算法

未来改进

根据项目维护者的说明，后续版本将支持更直观的key=value格式直接输入，简化配置过程。但当前版本仍需采用上述转换方法。

排错建议

若配置后验证失败，建议检查：

1. DNS服务器是否允许来自BunkerWeb服务器的TSIG更新请求
2. 时间同步是否准确（TSIG对时间敏感）
3. 防火墙是否放行相关端口
4. 密钥和算法是否与DNS服务器配置完全匹配

通过正确配置这些参数，BunkerWeb可以顺利完成DNS验证流程，自动获取并续期Let's Encrypt证书，实现全自动化的HTTPS部署。