Semuanya mungkin sudah di ketahui tentang organisasi seperti Let's Encrypt. Untuk beberapa waktu sekarang Anda bisa mendapatkan sertifikat wildcard di sana. Dalam catatan singkat ini, saya akan menggambarkan beberapa momen yang tidak terlalu jelas yang saya temui.
1. Sertifikat wildcard hanya dapat diperoleh melalui plugins DNS:
Melakukan validasi domain dengan cara ini adalah satu-satunya cara untuk mendapatkan sertifikat wildcard dari Let's Encrypt.
Yaitu opsi kami adalah salah satu dari plugins DNS atau manual + preferen-tantangan = dns-01.
Lebih detail di
sini .
Penggunaan plugins DNS dijelaskan secara rinci dalam dokumentasi di tautan di atas.
Saat menggunakan mode manual, Anda perlu menambahkan data TXT secara manual di DNS. Entri ini akan berbeda setiap kali, yaitu perpanjangan otomatis sertifikat dalam hal ini hanya dimungkinkan melalui kait certbot. Di tempat yang sama, omong-omong, Anda bisa menggantung perintah, misalnya, untuk me-restart nginx.
2. Anda harus menggunakan server dengan API v.2:
https:
Mungkin di versi mendatang dari certbot akan ada transisi untuk menggunakan API v.2 secara default, tetapi untuk sekarang seperti ini.
Saya menggunakan buruh pelabuhan untuk menjalankan certbot. Sangat nyaman. Dengan demikian, perintah untuk mendapatkan sertifikat adalah sebagai berikut:
docker run -it --rm \ -v /docker/volumes/etc/letsencrypt:/etc/letsencrypt \ -v /docker/volumes/var/lib/letsencrypt:/var/lib/letsencrypt \ -v /docker/volumes/var/log/letsencrypt:/var/log/letsencrypt \ certbot/certbot \ certonly --manual \ --preferred-challenges dns-01 \ --server https://acme-v02.api.letsencrypt.org/directory \ --register-unsafely-without-email --agree-tos \ --manual-public-ip-logging-ok \ -d example.com -d *.example.com
Hasil certbot akan tersedia di / buruh pelabuhan / volume /, dari mana mereka dapat dihubungkan ke wadah lain.
Perhatikan kunci "manual-public-ip-logging-ok" - jika Anda tidak menentukannya, maka pertanyaan ini muncul saat startup:
CATATAN: IP mesin ini akan dicatat secara publik karena telah meminta ini
sertifikat. Jika Anda menjalankan certbot dalam mode manual pada mesin yang tidak
server Anda, pastikan Anda baik-baik saja dengan itu.
Apakah Anda setuju dengan IP Anda yang dicatat?
Seperti yang saya pahami, sementara alamat tidak dapat diakses di mana saja (tetapi login), publikasi mereka dalam waktu dekat. Menurut pendapat pribadi saya, sedikit kebijakan aneh.