Tout est probablement déjà au courant d'une organisation telle que Let's Encrypt. Depuis quelque temps, vous pouvez y obtenir un certificat générique. Dans cette courte note, je décrirai quelques moments pas très évidents que j'ai rencontrés.
1. Le certificat générique ne peut être obtenu que via des plugins DNS:
La validation de domaine de cette manière est le seul moyen d'obtenir des certificats génériques de Let's Encrypt.
C'est-à-dire nos options sont soit l'un des plugins DNS ou manuel + défis-préférés = dns-01.
Plus de détails
ici .
L'utilisation de plugins DNS est décrite en détail dans la documentation sur le lien ci-dessus.
Lorsque vous utilisez le mode manuel, vous devrez ajouter manuellement un enregistrement TXT dans DNS. Cette entrée sera différente à chaque fois, c'est-à-dire le renouvellement automatique du certificat dans ce cas n'est possible que via les crochets certbot. Au même endroit, en passant, vous pouvez bloquer une commande, par exemple, pour redémarrer nginx.
2. Vous devez utiliser un serveur avec l'API v.2:
https:
Probablement dans les futures versions de certbot, il y aura une transition vers l'utilisation de l'API v.2 par défaut, mais pour l'instant comme ça.
J'utilise docker pour exécuter certbot. Très pratique. Ainsi, la commande d'obtention d'un certificat est la suivante:
docker run -it --rm \ -v /docker/volumes/etc/letsencrypt:/etc/letsencrypt \ -v /docker/volumes/var/lib/letsencrypt:/var/lib/letsencrypt \ -v /docker/volumes/var/log/letsencrypt:/var/log/letsencrypt \ certbot/certbot \ certonly --manual \ --preferred-challenges dns-01 \ --server https://acme-v02.api.letsencrypt.org/directory \ --register-unsafely-without-email --agree-tos \ --manual-public-ip-logging-ok \ -d example.com -d *.example.com
Les résultats de certbot seront disponibles dans / docker / volumes /, d'où ils peuvent être connectés à d'autres conteneurs.
Faites attention à la clé "manual-public-ip-logging-ok" - si vous ne le spécifiez pas, cette question apparaît au démarrage:
REMARQUE: l'adresse IP de cette machine sera enregistrée publiquement comme ayant demandé cette
certificat. Si vous exécutez certbot en mode manuel sur une machine qui n'est pas
votre serveur, assurez-vous que cela vous convient.
Êtes-vous d'accord avec votre IP enregistrée?
Si je comprends bien, bien que les adresses ne soient accessibles nulle part (mais connectées), leur publication est dans un proche avenir. À mon avis, une politique un peu étrange.