Letsencrypt ワイルドカード証明書の取得と反映

April 14, 2019 – 10:43 am

我がサイト、一昨年の11月からLetsencrypt認証局発行のSSL証明書を導入し、SSL対応にしている(「我がブログをSSL対応にした」)。この時点では、サブドメイン毎に証明書を取得する必要があったが、昨年3月からドメインの認証を一枚の証明書で行えるワイルドカード証明書の取得が可能になった(「ワイルドカード証明書とACME v2へ対応」)。

一年遅れになったが、我がサイトも、このワイルドカード証明書を取得し、これによるSSL化の手続きを完了したので、作業記録をメモしておいた。

Certbotによるワイルドカードの取得
以下のコマンドでワイルドカード証明書を取得

# certbot certonly --manual \
> --preferred-challenges dns-01 \
> --server https://acme-v02.api.letsencrypt.org/directory \
> -d *.yamasnet.com

なお、ここで用いた certbotの versionは以下:

# certbot --version
certbot 0.31.0

上記したコマンドにより、以下のように、当該ドメインを登録しているDNSへのレコードを追加することが求められる:

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for yamasnet.com

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.

Are you OK with your IP being logged?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: Y

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name
_acme-challenge.yamasnet.com with the following value:

tsht1dfXZT36onmbQJqvmYXA44gxI1y9kDcjL6WcQ4s

Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

ここで得られた tsht1dfXZT36onmbQJqvmYXA44gxI1y9kDcjL6WcQ4s(例示にすぎない)を新たなDNSレコードに新規登録する。

登録内容は以下:

name  : acme-challenge
type  : TXT
value : tsht1dfXZT36onmbQJqvmYXA44gxI1y9kDcjL6WcQ4s

DNSへの登録が終了(外部からDNS内容が参照できるタイミング)したところで、以下にしめすように、証明書取得手続きを続けることにより、証明書が取得される。

Press Enter to Continue
Waiting for verification...
Resetting dropped connection: acme-v02.api.letsencrypt.org
Cleaning up challenges
Resetting dropped connection: acme-v02.api.letsencrypt.org

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/yamasnet.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/yamasnet.com/privkey.pem
   Your cert will expire on 2019-07-12. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

ここで得られたワイルドカード証明書を、これまでのサブドメイン毎の証明書に置き換えることにより作業は終了。
  
一定時間経過後、DNSの変化がネット上に反映されたところで、ワイルドカード証明書が反映されてるこをを確認できる。
 


Post a Comment