Lego项目中使用Gandi DNS验证时遇到的API密钥格式问题解析

在使用Lego自动化证书管理工具进行域名证书申请时，部分用户可能会遇到Gandi DNS验证失败的情况。本文针对这一特定场景进行技术分析。

问题现象

当用户尝试通过Lego工具为域名stubber.chat及其通配符域名申请证书时，系统返回错误信息，提示API密钥格式不匹配。具体错误显示Gandi DNS服务期望的API密钥格式为24位字母数字组合，而用户提供的40位哈希值格式密钥被拒绝。

技术背景

Gandi作为域名注册商和DNS服务提供商，其API接口经历了多次版本迭代。目前存在两个主要版本：

1. 传统API（v4及以下版本）：使用24位字母数字组合的API密钥
2. 新版API（v5）：支持更长的个人访问令牌(PAT)

问题根源

错误信息中明确显示服务端期望的API密钥格式为^[a-z0-9]{24}$正则表达式模式，这表明：

• 用户配置中使用了新版Gandi账户生成的40位个人访问令牌
• 但Lego工具中配置的DNS提供商为gandi（对应旧版API）
• 新旧API的密钥格式完全不兼容

解决方案

要解决此问题，用户需要采取以下步骤：

1. 确认API版本：登录Gandi账户查看正在使用的API版本
2. 修改Lego配置：
   • 如果使用新版API（v5），应将DNS提供商改为gandiv5
   • 保持使用40位的个人访问令牌
3. 更新环境变量：确保DNS_PROVIDER变量值为gandiv5

配置示例

正确的环境变量配置应类似如下：

DNS_PROVIDER=gandiv5
GANDI_API_KEY=your_40_char_pat_token

注意事项

1. 新旧API不兼容，无法混用
2. 密钥格式错误会导致DNS验证环节失败
3. 建议在测试环境先验证配置再应用到生产环境

通过以上调整，用户应该能够顺利完成基于Gandi DNS的证书自动化申请流程。对于使用其他DNS服务商的用户，也应注意检查对应服务商API的密钥格式要求。