Letsencrypt ワイルドカード証明書の取得と反映
April 14, 2019 – 10:43 am我がサイト、一昨年の11月からLetsencrypt認証局発行のSSL証明書を導入し、SSL対応にしている(「我がブログをSSL対応にした」)。この時点では、サブドメイン毎に証明書を取得する必要があったが、昨年3月からドメインの認証を一枚の証明書で行えるワイルドカード証明書の取得が可能になった(「ワイルドカード証明書とACME v2へ対応」)。
一年遅れになったが、我がサイトも、このワイルドカード証明書を取得し、これによるSSL化の手続きを完了したので、作業記録をメモしておいた。
Certbotによるワイルドカードの取得:
以下のコマンドでワイルドカード証明書を取得
# certbot certonly --manual \ > --preferred-challenges dns-01 \ > --server https://acme-v02.api.letsencrypt.org/directory \ > -d *.yamasnet.com
なお、ここで用いた certbotの versionは以下:
# certbot --version certbot 0.31.0
上記したコマンドにより、以下のように、当該ドメインを登録しているDNSへのレコードを追加することが求められる:
Saving debug log to /var/log/letsencrypt/letsencrypt.log Plugins selected: Authenticator manual, Installer None Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org Obtaining a new certificate Performing the following challenges: dns-01 challenge for yamasnet.com - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - NOTE: The IP of this machine will be publicly logged as having requested this certificate. If you're running certbot in manual mode on a machine that is not your server, please ensure you're okay with that. Are you OK with your IP being logged? - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y)es/(N)o: Y - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please deploy a DNS TXT record under the name _acme-challenge.yamasnet.com with the following value: tsht1dfXZT36onmbQJqvmYXA44gxI1y9kDcjL6WcQ4s Before continuing, verify the record is deployed. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
ここで得られた tsht1dfXZT36onmbQJqvmYXA44gxI1y9kDcjL6WcQ4s(例示にすぎない)を新たなDNSレコードに新規登録する。
登録内容は以下:
name : acme-challenge type : TXT value : tsht1dfXZT36onmbQJqvmYXA44gxI1y9kDcjL6WcQ4s
DNSへの登録が終了(外部からDNS内容が参照できるタイミング)したところで、以下にしめすように、証明書取得手続きを続けることにより、証明書が取得される。
Press Enter to Continue Waiting for verification... Resetting dropped connection: acme-v02.api.letsencrypt.org Cleaning up challenges Resetting dropped connection: acme-v02.api.letsencrypt.org IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/yamasnet.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/yamasnet.com/privkey.pem Your cert will expire on 2019-07-12. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
ここで得られたワイルドカード証明書を、これまでのサブドメイン毎の証明書に置き換えることにより作業は終了。
一定時間経過後、DNSの変化がネット上に反映されたところで、ワイルドカード証明書が反映されてるこをを確認できる。