Главная » Хабрахабр » Небольшая заметка про wildcard сертификаты Let’s Encrypt

Небольшая заметка про wildcard сертификаты Let’s Encrypt

Все уже, наверное, в курсе про такую организацию как Let’s Encrypt. С некоторых пор там можно получить и wildcard сертификат. В этой короткой заметке я опишу пару не очень очевидных моментов, с которыми столкнулся.
1. Wildcard сертификат можно получить только через DNS plugins:

Doing domain validation in this way is the only way to obtain wildcard certificates from Let’s Encrypt.

Т.е. наши варианты — это либо один из DNS plugins, либо manual + preferred-challenges=dns-01.

Подробнее здесь.
Использование DNS plugins подробно описано в документации по ссылке выше.

Эта запись каждый раз будет разная, т.е. При использовании режима manual, нужно будет вручную добавить TXT запись в DNS. Там же, кстати, можно повесить и команду, например, на рестарт nginx. автоматическое продление сертификата в этом случае возможно только через хуки certbot.

Нужно использовать сервер с API v. 2. 2:

https://acme-v02.api.letsencrypt.org/directory

Вероятно в будущих версиях certbot произойдет переход на использование API v.2 по умолчанию, но пока вот так.

Весьма удобно. Я использую docker для запуска certbot. Таким образом, команда для получения сертификата получается вот такая:

docker run -it --rm \
-v /docker/volumes/etc/letsencrypt:/etc/letsencrypt \
-v /docker/volumes/var/lib/letsencrypt:/var/lib/letsencrypt \
-v /docker/volumes/var/log/letsencrypt:/var/log/letsencrypt \
certbot/certbot \
certonly --manual \
--preferred-challenges dns-01 \
--server https://acme-v02.api.letsencrypt.org/directory \
--register-unsafely-without-email --agree-tos \
--manual-public-ip-logging-ok \
-d example.com -d *.example.com

Результаты работы certbot будут доступны в /docker/volumes/, откуда их можно подключать в другие контейнеры.

Обратите внимание на ключ «manual-public-ip-logging-ok» — если его не указать, то появляется вот такой вопрос при запуске:

If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that. NOTE: The IP of this machine will be publicly logged as having requested this
certificate.

Are you OK with your IP being logged?

Как я понял, пока адреса нигде не доступны (но логируются), их публикация есть в ближайших планах. На мой личный взгляд, немного странная политика.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Google оштрафован на рекордные $5 млрд за нарушение антимонопольного законодательства в Европе

Это самый большой штраф в истории компании. Еврокомиссия закончила многолетнее расследование против Google и потребовала рекордный штраф в 5 миллиардов долларов (4,3 млрд евро). Товары из каталога Google Shop, согласно обвинению, намеренно ставились выше, чем остальные. Прошлый рекордный штраф, кстати, ...

«Яндекс» начал работу над созданием собственной системы «умный дом»

Сегодня стало известно о том, что компания «Яндекс» осенью может представить собственную систему «умный дом». Во всяком случае, она зарегистрировала в странах Евразийского экономического союза устройство «Яндекс.Модуль», о чем сообщает «Коммерсант». Этот девайс был создан американской компанией NotAnotherOne, у истоков ...