Let's Encrypt (certbot)로 와일드 카드 증명서를 할 수 있었다!

소개



요 전날,
  • Let's Encrypt (certbot)를 사용하여 와일드 카드 인증서를 얻으십시오! (다시 조금)

  • 라고 하는 기사를 써서, Qiita에서의 첫 투고였음에도 불구하고 5000이상의 액세스, 100 좋아요를 받았습니다.
    투고 시점에서는 제대로 와일드 카드 증명서를 발행할 수 있었다고 생각했습니다만, 실제로는 아직 스테이징의 단계에서 무효인 증명서 밖에 발행되지 않는다고 하는 쯔코미를 받고, 문서의 로드 부족·검증 부족을 통감해 기사에 추가한 곳입니다.

    그런데 드디어,
  • ACME v2 Production Environment & Wildcards

  • "ACME v2 엔드포인트를 ProductionEnvironment로 사용할 수 있게 되었다"는 공지가 있으며,
  • ACME v2 Compatible Clients

  • 대응 클라이언트 일람에 certbot이 들어 있었으므로, 한번 더 검증해 보기로 했습니다.

    결론


  • 경고가 나지 않는, 제대로 된 와일드 카드 증명서가 발행된다←NEW
  • yum으로 들어가는 certbot은 아직 오래된 (2018/03/14 04:30 JST경)
  • ↑ yum에서 설치할 수있는 최신 버전 0.23.0에서 와일드 카드 인증서를 발행 할 수있었습니다 (2018/05/13 현재)
  • ACME v2 엔드 포인트는 명시 적 지정이 필요합니다

  • Let's Encrypt에서 와일드카드 인증서를 받을 때까지



    검증 환경


  • CentOS7.4

  • yum에서 certbot을 넣어 시도했습니다.



    에펠이 필요했던 느낌
    [root@wildcard ~]# yum -y install certbot --enablerepo=epel
    

    보통 DNS 인증으로 시도 → 실패
    [root@wildcard certbot]# certbot certonly --manual \
    -d *.charakoba.com -m <メールアドレス> --agree-tos --manual-public-ip-logging-ok \
    --preferred-challenges dns-01
    Wildcard domains are not supported: *.charakoba.com
    

    싫은 예감이
    [root@wildcard ~]# yum list installed | grep certbot
    certbot.noarch                          0.21.1-1.el7                    @epel   
    python2-certbot.noarch                  0.21.1-1.el7                    @epel 
    

    버전이 오래되었습니다.

    yum으로 설치할 수 있는 최신판 0.23.0으로 와일드 카드 증명서 발행할 수 있었습니다. git에서의 작업은 필요하지 않습니다. (2018/05/13 추가)

    git으로 떨어지는



    Release 0.22.0은 커밋 메시지를 포함합니다. 게다가 6일 전.


    복제하다
    [root@wildcard ~]# yum install git
    [root@wildcard ~]# git clone https://github.com/certbot/certbot.git
    [root@wildcard ~]# cd certbot/
    

    마지막 기사의 명령에서 불필요한 부분을 깎아서 실행해 보겠습니다.
    [root@wildcard certbot]# ./certbot-auto certonly --manual \
    -d *.charakoba.com -m <メールアドレス> --agree-tos --manual-public-ip-logging-ok \
    --preferred-challenges dns-01
    

    API 서버 엔드포인트의 기본값은 오래된 것 같습니다.
    Obtaining a new certificate
    The currently selected ACME CA endpoint does not support issuing wildcard certificates.
    

    ACMEv2 프로덕션용 https://acme-v02.api.letsencrypt.org/directory를 엔드포인트에 지정하고 다시 실행하십시오.
    [root@wildcard certbot]# ./certbot-auto certonly --manual \
    -d *.charakoba.com -m <メールアドレス> --agree-tos --manual-public-ip-logging-ok \
    --preferred-challenges dns-01 \
    --server https://acme-v02.api.letsencrypt.org/directory
    

    제대로 TXT 레코드가 표시되었습니다.
    -------------------------------------------------------------------------------
    Please deploy a DNS TXT record under the name
    _acme-challenge.charakoba.com with the following value:
    
    abCePnd_c652hTidebzC_UOtX-lkV2AjtG4YD8Xzp5k
    
    Before continuing, verify the record is deployed.
    -------------------------------------------------------------------------------
    

    이것을 DNS 서버에 등록하고 아무 키나 누르면 인증서가 발급됩니다.
    IMPORTANT NOTES:
     - Congratulations! Your certificate and chain have been saved at:
       /etc/letsencrypt/live/charakoba.com/fullchain.pem
       Your key file has been saved at:
       /etc/letsencrypt/live/charakoba.com/privkey.pem
       Your cert will expire on 2018-06-11. To obtain a new or tweaked
       version of this certificate in the future, simply run certbot-auto
       again. To non-interactively renew *all* of your certificates, run
       "certbot-auto renew"
     - Your account credentials have been saved in your Certbot
       configuration directory at /etc/letsencrypt. You should make a
       secure backup of this folder now. This configuration directory will
       also contain certificates and private keys obtained by Certbot so
       making regular backups of this folder is ideal.
     - If you like Certbot, please consider supporting our work by:
    
       Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
       Donating to EFF:                    https://eff.org/donate-le
    

    검증



    nginx로 적당하게 WEB 서버를 세워, 증명서의 검증을 해 보았습니다.



    특히 경고가 나오지 않고 녹색 키가 표시됩니다.



    발행자의 명칭의 부분도, 스테이징 API에서는 Fake LE Intermediate X1 가 되어 있었습니다만, 제대로 정규의 Let's Encrypt Authority X3 가 되고 있습니다.

    사이고에게



    네무이입니다. 저서 사 주시면 격려가됩니다.

    일러스트 다이어그램에서 잘 알고 있는 IT 인프라의 기초 지식

    좋은 웹페이지 즐겨찾기