Let's Encrypt (certbot)로 와일드 카드 증명서를 할 수 있었다!
6879 단어 letsencryptSSL파이썬certbot
소개
요 전날,
라고 하는 기사를 써서, Qiita에서의 첫 투고였음에도 불구하고 5000이상의 액세스, 100 좋아요를 받았습니다.
투고 시점에서는 제대로 와일드 카드 증명서를 발행할 수 있었다고 생각했습니다만, 실제로는 아직 스테이징의 단계에서 무효인 증명서 밖에 발행되지 않는다고 하는 쯔코미를 받고, 문서의 로드 부족·검증 부족을 통감해 기사에 추가한 곳입니다.
그런데 드디어,
"ACME v2 엔드포인트를 ProductionEnvironment로 사용할 수 있게 되었다"는 공지가 있으며,
대응 클라이언트 일람에 certbot이 들어 있었으므로, 한번 더 검증해 보기로 했습니다.
결론
Let's Encrypt에서 와일드카드 인증서를 받을 때까지
검증 환경
yum에서 certbot을 넣어 시도했습니다.
에펠이 필요했던 느낌
[root@wildcard ~]# yum -y install certbot --enablerepo=epel
보통 DNS 인증으로 시도 → 실패
[root@wildcard certbot]# certbot certonly --manual \
-d *.charakoba.com -m <メールアドレス> --agree-tos --manual-public-ip-logging-ok \
--preferred-challenges dns-01
Wildcard domains are not supported: *.charakoba.com
싫은 예감이
[root@wildcard ~]# yum list installed | grep certbot
certbot.noarch 0.21.1-1.el7 @epel
python2-certbot.noarch 0.21.1-1.el7 @epel
버전이 오래되었습니다.
yum으로 설치할 수 있는 최신판 0.23.0으로 와일드 카드 증명서 발행할 수 있었습니다. git에서의 작업은 필요하지 않습니다. (2018/05/13 추가)
git으로 떨어지는
Release 0.22.0은 커밋 메시지를 포함합니다. 게다가 6일 전.
복제하다
[root@wildcard ~]# yum install git
[root@wildcard ~]# git clone https://github.com/certbot/certbot.git
[root@wildcard ~]# cd certbot/
마지막 기사의 명령에서 불필요한 부분을 깎아서 실행해 보겠습니다.
[root@wildcard certbot]# ./certbot-auto certonly --manual \
-d *.charakoba.com -m <メールアドレス> --agree-tos --manual-public-ip-logging-ok \
--preferred-challenges dns-01
API 서버 엔드포인트의 기본값은 오래된 것 같습니다.
Obtaining a new certificate
The currently selected ACME CA endpoint does not support issuing wildcard certificates.
ACMEv2 프로덕션용
https://acme-v02.api.letsencrypt.org/directory
를 엔드포인트에 지정하고 다시 실행하십시오.[root@wildcard certbot]# ./certbot-auto certonly --manual \
-d *.charakoba.com -m <メールアドレス> --agree-tos --manual-public-ip-logging-ok \
--preferred-challenges dns-01 \
--server https://acme-v02.api.letsencrypt.org/directory
제대로 TXT 레코드가 표시되었습니다.
-------------------------------------------------------------------------------
Please deploy a DNS TXT record under the name
_acme-challenge.charakoba.com with the following value:
abCePnd_c652hTidebzC_UOtX-lkV2AjtG4YD8Xzp5k
Before continuing, verify the record is deployed.
-------------------------------------------------------------------------------
이것을 DNS 서버에 등록하고 아무 키나 누르면 인증서가 발급됩니다.
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/charakoba.com/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/charakoba.com/privkey.pem
Your cert will expire on 2018-06-11. To obtain a new or tweaked
version of this certificate in the future, simply run certbot-auto
again. To non-interactively renew *all* of your certificates, run
"certbot-auto renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
검증
nginx로 적당하게 WEB 서버를 세워, 증명서의 검증을 해 보았습니다.
특히 경고가 나오지 않고 녹색 키가 표시됩니다.
발행자의 명칭의 부분도, 스테이징 API에서는
Fake LE Intermediate X1
가 되어 있었습니다만, 제대로 정규의 Let's Encrypt Authority X3
가 되고 있습니다.사이고에게
네무이입니다. 저서 사 주시면 격려가됩니다.
일러스트 다이어그램에서 잘 알고 있는 IT 인프라의 기초 지식
Reference
이 문제에 관하여(Let's Encrypt (certbot)로 와일드 카드 증명서를 할 수 있었다!), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/chamaharun/items/566c78bb8a13b4c2bc16텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)