Let's Encrypt (certbot)로 와일드 카드 증명서를 할 수 있었다!

소개

요 전날,

Let's Encrypt (certbot)를 사용하여 와일드 카드 인증서를 얻으십시오! (다시 조금)

라고 하는 기사를 써서, Qiita에서의 첫 투고였음에도 불구하고 5000이상의 액세스, 100 좋아요를 받았습니다.
투고 시점에서는 제대로 와일드 카드 증명서를 발행할 수 있었다고 생각했습니다만, 실제로는 아직 스테이징의 단계에서 무효인 증명서 밖에 발행되지 않는다고 하는 쯔코미를 받고, 문서의 로드 부족·검증 부족을 통감해 기사에 추가한 곳입니다.

그런데 드디어,

ACME v2 Production Environment & Wildcards

"ACME v2 엔드포인트를 ProductionEnvironment로 사용할 수 있게 되었다"는 공지가 있으며,

ACME v2 Compatible Clients

대응 클라이언트 일람에 certbot이 들어 있었으므로, 한번 더 검증해 보기로 했습니다.

결론

경고가 나지 않는, 제대로 된 와일드 카드 증명서가 발행된다←NEW

yum으로 들어가는 certbot은 아직 오래된 (2018/03/14 04:30 JST경)

↑ yum에서 설치할 수있는 최신 버전 0.23.0에서 와일드 카드 인증서를 발행 할 수있었습니다 (2018/05/13 현재)

ACME v2 엔드 포인트는 명시 적 지정이 필요합니다

Let's Encrypt에서 와일드카드 인증서를 받을 때까지

검증 환경

CentOS7.4

yum에서 certbot을 넣어 시도했습니다.

에펠이 필요했던 느낌

[root@wildcard ~]# yum -y install certbot --enablerepo=epel

보통 DNS 인증으로 시도 → 실패

[root@wildcard certbot]# certbot certonly --manual \
-d *.charakoba.com -m <メールアドレス> --agree-tos --manual-public-ip-logging-ok \
--preferred-challenges dns-01
Wildcard domains are not supported: *.charakoba.com

싫은 예감이

[root@wildcard ~]# yum list installed | grep certbot
certbot.noarch                          0.21.1-1.el7                    @epel   
python2-certbot.noarch                  0.21.1-1.el7                    @epel 

버전이 오래되었습니다.

yum으로 설치할 수 있는 최신판 0.23.0으로 와일드 카드 증명서 발행할 수 있었습니다. git에서의 작업은 필요하지 않습니다. (2018/05/13 추가)

git으로 떨어지는

Release 0.22.0은 커밋 메시지를 포함합니다. 게다가 6일 전.


복제하다

[root@wildcard ~]# yum install git
[root@wildcard ~]# git clone https://github.com/certbot/certbot.git
[root@wildcard ~]# cd certbot/

마지막 기사의 명령에서 불필요한 부분을 깎아서 실행해 보겠습니다.

[root@wildcard certbot]# ./certbot-auto certonly --manual \
-d *.charakoba.com -m <メールアドレス> --agree-tos --manual-public-ip-logging-ok \
--preferred-challenges dns-01

API 서버 엔드포인트의 기본값은 오래된 것 같습니다.

Obtaining a new certificate
The currently selected ACME CA endpoint does not support issuing wildcard certificates.

ACMEv2 프로덕션용 https://acme-v02.api.letsencrypt.org/directory를 엔드포인트에 지정하고 다시 실행하십시오.

[root@wildcard certbot]# ./certbot-auto certonly --manual \
-d *.charakoba.com -m <メールアドレス> --agree-tos --manual-public-ip-logging-ok \
--preferred-challenges dns-01 \
--server https://acme-v02.api.letsencrypt.org/directory

제대로 TXT 레코드가 표시되었습니다.

-------------------------------------------------------------------------------
Please deploy a DNS TXT record under the name
_acme-challenge.charakoba.com with the following value:

abCePnd_c652hTidebzC_UOtX-lkV2AjtG4YD8Xzp5k

Before continuing, verify the record is deployed.
-------------------------------------------------------------------------------

이것을 DNS 서버에 등록하고 아무 키나 누르면 인증서가 발급됩니다.

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/charakoba.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/charakoba.com/privkey.pem
   Your cert will expire on 2018-06-11. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

검증

nginx로 적당하게 WEB 서버를 세워, 증명서의 검증을 해 보았습니다.



특히 경고가 나오지 않고 녹색 키가 표시됩니다.



발행자의 명칭의 부분도, 스테이징 API에서는 Fake LE Intermediate X1 가 되어 있었습니다만, 제대로 정규의 Let's Encrypt Authority X3 가 되고 있습니다.

사이고에게

네무이입니다. 저서 사 주시면 격려가됩니다.

일러스트 다이어그램에서 잘 알고 있는 IT 인프라의 기초 지식