Win-ACME在Split Horizon DNS环境中的证书申请问题解析

在Windows服务器证书管理工具Win-ACME的使用过程中，当遇到Split Horizon DNS（又称Split Brain DNS）架构时，用户可能会遇到证书申请失败的情况。这种情况通常发生在企业内部DNS和外部DNS记录分离的环境中。

问题现象

在Win-ACME 2.2.7.1621版本中，当执行DNS-01验证时，程序默认会使用系统配置的DNS服务器进行域名解析。在Split Horizon DNS环境中，如果系统配置的是内部DNS服务器地址，程序将无法正确解析外部DNS记录，导致证书申请失败。

问题原因

Win-ACME在进行DNS验证时，会按照以下顺序尝试解析域名：

1. 首先尝试使用公共DNS服务器
2. 如果失败，则回退到系统配置的DNS服务器

在Split Horizon DNS环境中，当公共DNS查询被网络策略阻止或出现其他网络问题时，程序会回退到内部DNS服务器，从而无法获取正确的外部DNS记录。

解决方案

对于这个问题，有以下几种解决方法：

1. 临时修改系统DNS设置： 将服务器的NIC DNS设置临时更改为公共DNS服务器（如知名的1.1.1.1或8.8.8.8），完成证书申请后再恢复原设置。

2. 手动修改配置文件： 在Win-ACME的settings.json配置文件中，可以手动指定DNS服务器地址：

   {
     "system": {
       "dnsServers": ["8.8.8.8", "1.1.1.1"]
     }
   }
   

3. 检查网络策略： 确保网络策略没有阻止公共DNS查询，这可以避免程序回退到内部DNS服务器。

最佳实践建议

1. 对于生产环境，建议使用配置文件预先指定公共DNS服务器，避免依赖临时修改系统设置。
2. 定期检查Win-ACME的日志文件（位于%programdata%\win-acme目录），可以及时发现和诊断DNS解析问题。
3. 考虑在测试环境中模拟Split Horizon DNS场景，验证证书申请流程是否正常。

通过以上方法，可以有效地解决Win-ACME在Split Horizon DNS环境中的证书申请问题，确保证书管理流程的顺利进行。