Получаем wildcard сертификаты LetsEncrypt
Без рубрики
Published: 2018-03-26

13 март 2018 года LetsEncrypt наконец объявила, что, они начали поддерживать wildcard-сертификаты. Теперь можно за раз получить сертификат, включащий в себя все субдомены

Процесс всё так же автоматизирован через консольную утилиту certbot. Отличие в том, что теперь подтверждение домена можно сделать только через TXT-запись в DNS-зоне, а не через webroot, как раньше.

  1. Качаем обновлённый certbot v0.22, разархивируем, переходим в папку

    wget 'https://github.com/certbot/certbot/archive/v0.22.2.tar.gz' && \
    tar -xvf v0.22.2.tar.gz && \
    cd certbot-0.22.2
    
  1. Запускаем генерацию сертификата, указывая свой домен с маской *

    ./certbot-auto certonly \
    --manual \
    -d *.yourdomain.com \
    --agree-tos \
    --manual-public-ip-logging-ok \
    --preferred-challenges dns-01 \
    --server 'https://acme-v02.api.letsencrypt.org/directory'
    

    В процессе сгенерируется значение для TXT-записи, которую надо добавить в DNS

  2. Добавляем TXT запись для субдомена  _acme-challenge

  3. Жмём в консоли Enter. Ждём подтверждения, что наши сертификаты сформированы

  4. Проверяем сертификаты

    ls -la /etc/letsencrypt/live/
    

  5. Не забываем делать renew своих сертификатов. После обновления обязательно reload веб-сервера

    0 */12 * * * /path_to_cerbot/certbot-auto renew --quiet --no-self-upgrade && service nginx reload
    
comments powered by Disqus