Главная » Хабрахабр » Небольшая заметка про wildcard сертификаты Let’s Encrypt

Небольшая заметка про wildcard сертификаты Let’s Encrypt

Все уже, наверное, в курсе про такую организацию как Let’s Encrypt. С некоторых пор там можно получить и wildcard сертификат. В этой короткой заметке я опишу пару не очень очевидных моментов, с которыми столкнулся.
1. Wildcard сертификат можно получить только через DNS plugins:

Doing domain validation in this way is the only way to obtain wildcard certificates from Let’s Encrypt.

Т.е. наши варианты — это либо один из DNS plugins, либо manual + preferred-challenges=dns-01.

Подробнее здесь.
Использование DNS plugins подробно описано в документации по ссылке выше.

Эта запись каждый раз будет разная, т.е. При использовании режима manual, нужно будет вручную добавить TXT запись в DNS. Там же, кстати, можно повесить и команду, например, на рестарт nginx. автоматическое продление сертификата в этом случае возможно только через хуки certbot.

Нужно использовать сервер с API v. 2. 2:

https://acme-v02.api.letsencrypt.org/directory

Вероятно в будущих версиях certbot произойдет переход на использование API v.2 по умолчанию, но пока вот так.

Весьма удобно. Я использую docker для запуска certbot. Таким образом, команда для получения сертификата получается вот такая:

docker run -it --rm \
-v /docker/volumes/etc/letsencrypt:/etc/letsencrypt \
-v /docker/volumes/var/lib/letsencrypt:/var/lib/letsencrypt \
-v /docker/volumes/var/log/letsencrypt:/var/log/letsencrypt \
certbot/certbot \
certonly --manual \
--preferred-challenges dns-01 \
--server https://acme-v02.api.letsencrypt.org/directory \
--register-unsafely-without-email --agree-tos \
--manual-public-ip-logging-ok \
-d example.com -d *.example.com

Результаты работы certbot будут доступны в /docker/volumes/, откуда их можно подключать в другие контейнеры.

Обратите внимание на ключ «manual-public-ip-logging-ok» — если его не указать, то появляется вот такой вопрос при запуске:

If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that. NOTE: The IP of this machine will be publicly logged as having requested this
certificate.

Are you OK with your IP being logged?

Как я понял, пока адреса нигде не доступны (но логируются), их публикация есть в ближайших планах. На мой личный взгляд, немного странная политика.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Увеличение видео 1080P до 4К, или Как я научился не волноваться и полюбил апскейл с помощью нейросетей

Читая недавно очередную статью про апскейл (Upscale — масштабирование изображения до более высокого разрешения), на этот раз про коммерческий продукт Topaz AI Gigapixel, я оставил комментарий следующий содержания: Полагаю, разницу найти будет очень сложно, даже несмотря на то, что waifu2x ...

Нужно ли чистить строки в JavaScript?

Что? Строки могут быть «грязными»? Да, могут. //.....Какой-то код console.log(typeof str); // string console.log(str.length); // 15 console.log(str); // zzzzzzzzzzzzzzz Вы думаете, в этом примере строка занимает 30 байт? Она занимает 30 мегабайт!Дьявол кроется в деталях. А вот и нет! Очевидно, ...