Probablemente todo ya esté al tanto de una organización como Let's Encrypt. Desde hace algún tiempo, puede obtener un certificado comodín allí. En esta breve nota, describiré un par de momentos no muy obvios que encontré.
1. El certificado comodín solo se puede obtener a través de complementos DNS:
Hacer la validación de dominio de esta manera es la única forma de obtener certificados comodín de Let's Encrypt.
Es decir nuestras opciones son uno de los complementos de DNS o manual + más preferido-desafíos = dns-01.
Más detalles
aquí .
El uso de complementos DNS se describe en detalle en la documentación en el enlace anterior.
Cuando utilice el modo manual, deberá agregar manualmente un registro TXT en DNS. Esta entrada será diferente cada vez, es decir La renovación automática del certificado en este caso solo es posible a través de ganchos certbot. En el mismo lugar, por cierto, puede colgar un comando, por ejemplo, para reiniciar nginx.
2. Necesita usar un servidor con API v.2:
https:
Probablemente en futuras versiones de certbot habrá una transición para usar la API v.2 por defecto, pero por ahora así.
Estoy usando docker para ejecutar certbot. Muy conveniente Por lo tanto, el comando para obtener un certificado es el siguiente:
docker run -it --rm \ -v /docker/volumes/etc/letsencrypt:/etc/letsencrypt \ -v /docker/volumes/var/lib/letsencrypt:/var/lib/letsencrypt \ -v /docker/volumes/var/log/letsencrypt:/var/log/letsencrypt \ certbot/certbot \ certonly --manual \ --preferred-challenges dns-01 \ --server https://acme-v02.api.letsencrypt.org/directory \ --register-unsafely-without-email --agree-tos \ --manual-public-ip-logging-ok \ -d example.com -d *.example.com
Los resultados de certbot estarán disponibles en / docker / volume /, desde donde se pueden conectar a otros contenedores.
Preste atención a la clave "manual-public-ip-logging-ok": si no la especifica, esta pregunta aparece al inicio:
NOTA: La IP de esta máquina se registrará públicamente al haberlo solicitado.
certificado Si está ejecutando certbot en modo manual en una máquina que no es
su servidor, asegúrese de estar de acuerdo con eso.
¿Estás de acuerdo con que se registre tu IP?
Según tengo entendido, si bien las direcciones no son accesibles en ningún lugar (pero están conectadas), su publicación está en el futuro cercano. En mi opinión personal, una política un poco extraña.