суббота, 29 июня 2019 г.

Создание wildcard сертификата Let's Encrypt

Создание wildcard сертификата возможно только через DNS challenge. Для подтверждения владения доменом необходимо создать TXT запись вида _acme-challenge.example.com с определенным значением.

Используем docker certbot в ручном режиме
sudo docker run -it --rm -v /docker/volumes/etc/letsencrypt:/etc/letsencrypt -v /docker/volumes/var/lib/letsencrypt:/var/lib/letsencrypt -v /docker/volumes/var/log/letsencrypt:/var/log/letsencrypt certbot/certbot certonly --manual --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory --register-unsafely-without-email --agree-tos --manual-public-ip-logging-ok -d *.example.com
 Вывод:
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for example.com
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:
pFIaptscrhj_BZsXNcl_wgj99X-Tuyb9x-_1l9o_bhk
Before continuing, verify the record is deployed.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Press Enter to Continue

После правки DNS зоны _acme-challenge.example.com сертификат будет сгенерирован в каталоге:
/docker/volumes/etc/letsencrypt/live/

Была идея использовать локальный bind9 c добавлением TXT записей через RFC 2136 Dynamic Updates через плагин certbot-dns-rfc2136, но до практической реализации пока не дошли руки.