Получаем wildcard сертификаты LetsEncrypt
документация letsencrypt криптография
2018-03-26
Содержание

13 март 2018 года LetsEncrypt наконец объявила, что, они начали поддерживать wildcard-сертификаты. Теперь можно за раз получить сертификат, включащий в себя все субдомены

Процесс всё так же автоматизирован через консольную утилиту certbot. Отличие в том, что теперь подтверждение домена можно сделать только через TXT-запись в DNS-зоне, а не через webroot, как раньше.

  1. Качаем обновлённый certbot v0.22, разархивируем, переходим в папку

    wget 'https://github.com/certbot/certbot/archive/v0.22.2.tar.gz' && \
tar -xvf v0.22.2.tar.gz && \
cd certbot-0.22.2

  1. Запускаем генерацию сертификата, указывая свой домен с маской *

    ./certbot-auto certonly \
--manual \
-d *.yourdomain.com \
--agree-tos \
--manual-public-ip-logging-ok \
--preferred-challenges dns-01 \
--server 'https://acme-v02.api.letsencrypt.org/directory'

    В процессе сгенерируется значение для TXT-записи, которую надо добавить в DNS

  2. Добавляем TXT запись для субдомена  _acme-challenge

  3. Жмём в консоли Enter. Ждём подтверждения, что наши сертификаты сформированы

  4. Проверяем сертификаты

    ls -la /etc/letsencrypt/live/

  5. Не забываем делать renew своих сертификатов. После обновления обязательно reload веб-сервера

    0 */12 * * * /path_to_cerbot/certbot-auto renew --quiet --no-self-upgrade && service nginx reload