Über eine Organisation wie Let's Encrypt ist wahrscheinlich bereits alles bekannt. Seit einiger Zeit können Sie dort ein Wildcard-Zertifikat erhalten. In dieser kurzen Notiz werde ich einige nicht sehr offensichtliche Momente beschreiben, denen ich begegnet bin.
1. Wildcard-Zertifikat kann nur über DNS-Plugins erhalten werden:
Die Domänenüberprüfung auf diese Weise ist die einzige Möglichkeit, Platzhalterzertifikate von Let's Encrypt zu erhalten.
Das heißt, Unsere Optionen sind entweder eines der DNS-Plugins oder manuell + bevorzugte Herausforderungen = DNS-01.
Weitere Details
hier .
Die Verwendung von DNS-Plugins wird in der Dokumentation unter dem obigen Link ausführlich beschrieben.
Wenn Sie den manuellen Modus verwenden, müssen Sie manuell einen TXT-Eintrag in DNS hinzufügen. Dieser Eintrag ist jedes Mal anders, d.h. Eine automatische Erneuerung des Zertifikats ist in diesem Fall nur über Certbot-Hooks möglich. An derselben Stelle können Sie übrigens einen Befehl aufhängen, um beispielsweise nginx neu zu starten.
2. Sie müssen einen Server mit API v.2 verwenden:
https:
Wahrscheinlich wird es in zukünftigen Versionen von certbot standardmäßig einen Übergang zur Verwendung der API v.2 geben, aber vorerst so.
Ich benutze Docker, um Certbot auszuführen. Sehr praktisch. Der Befehl zum Erhalten eines Zertifikats lautet daher wie folgt:
docker run -it --rm \ -v /docker/volumes/etc/letsencrypt:/etc/letsencrypt \ -v /docker/volumes/var/lib/letsencrypt:/var/lib/letsencrypt \ -v /docker/volumes/var/log/letsencrypt:/var/log/letsencrypt \ certbot/certbot \ certonly --manual \ --preferred-challenges dns-01 \ --server https://acme-v02.api.letsencrypt.org/directory \ --register-unsafely-without-email --agree-tos \ --manual-public-ip-logging-ok \ -d example.com -d *.example.com
Die Ergebnisse von certbot sind in / docker / volume / verfügbar, von wo aus sie mit anderen Containern verbunden werden können.
Achten Sie auf den Schlüssel "manual-public-ip-logging-ok". Wenn Sie ihn nicht angeben, wird diese Frage beim Start angezeigt:
HINWEIS: Die IP-Adresse dieses Computers wird öffentlich als angefordert protokolliert
Zertifikat. Wenn Sie certbot im manuellen Modus auf einem Computer ausführen, der dies nicht ist
Stellen Sie auf Ihrem Server sicher, dass Sie damit einverstanden sind.
Sind Sie damit einverstanden, dass Ihre IP protokolliert wird?
Soweit ich weiß, sind die Adressen zwar nirgendwo zugänglich (aber angemeldet), ihre Veröffentlichung erfolgt jedoch in naher Zukunft. Meiner persönlichen Meinung nach eine etwas seltsame Politik.