в tips

Let’s Encrypt: Wildcard-сертификаты теперь доступны!

lets-encrypt
Еще в прошлом году разработчики Let’s Encrypt обещали внедрить в январе 2018 года поддержку возможности генерации wildcard-сертификатов для доменов и вот, наконец, этот день настал. Давайте разберемся, как сгенерировать wildcard-сертификат Let’s Encrypt для всех поддоменов!

Говорить о важности данного нововведения, думаю, будет лишним. Всем известно, что ранее для генерации корректных бесплатных ssl-сертификатов от Let’s Encrypt для нескольких поддоменов, нужно было все их перечислить с помощью параметра -d. Например, для генерации сертификатов, которые используются на окружении разработчиков, мне приходилось ранее запускать такую команду:

certbot certonly -d eddev.cf -d www.eddev.cf \
    -d roman.eddev.cf -d www.roman.eddev.cf \
    -d nick.eddev.cf -d www.nick.eddev.cf \
    -d anton.eddev.cf -d www.anton.eddev.cf \
    -d andrey.eddev.cf -d www.andrey.eddev.cf

При добавлении нового разработчика, сертификаты приходилось перевыпускать, добавляя к списку еще пару доменов — не самое рациональное использование времени.

Теперь можно все сделать гораздо проще и быстрее — прежде всего, убедитесь, что ваш клиент поддерживает протокол ACME второй версии (v2). Список таких клиентов доступен по этой ссылке. Разработчики рекомендуют использовать Certbot клиент (если быть точным — Certbot >= 0.22.0). Так как пакет нужной версии присутствует далеко не во всех репозиториях, то установить его стандартным менеджером пакетов (apt/aptitude/apt-get и т.д.) не выйдет (по крайней мере, на сегодняшний день). Но, в любой ситуации можно найти варианты, и эта не является исключением:

  • можно воспользоваться docker-образом со свежей версией certbot, как написано здесь;
  • можно использовать плагин manual (наш вариант);
  • можно подождать появления пакетов в репозитории.

Установить плагин manual можно с помощью certbot-auto, для этого выполняем команды:

wget https://dl.eff.org/certbot-auto && chmod a+x certbot-auto

certbot-auto использует те же флаги (параметры), что и хорошо знакомый нам certbot; кроме того, он некоторые свои зависимости и обновляет код клиента до последней версии (что нам и нужно) автоматически.

Команда с использованием плагина manual для генерации бесплатных ssl-сертификатов будет выглядеть примерно так:

./certbot-auto certonly --manual -d *.eddev.cf -d eddev.cf \
    --preferred-challenges dns-01 \
    --server https://acme-v02.api.letsencrypt.org/directory

Примечание. При первом запуске будут также установлены все необходимые зависимости (нужно будет подтвердить установку нажатием y).

В моем случае, первый блин вышел комом запуск команды завершился ошибкой:

Could not choose appropriate plugin: Too many flags setting configurators/installers/authenticators 'webroot' -> 'manual'
Too many flags setting configurators/installers/authenticators 'webroot' -> 'manual'

И действительно, ранее на этом компьютере я обновлял сертификаты с помощью плагина webroot, и даже прописал его в конфигурационном файле /etc/letsencrypt/cli.ini:

authenticator = webroot
webroot-path = /var/www/html
post-hook = service nginx reload
text = True

Приводим данный конфигурационный файл в следующему виду (меняем authenticator и добавляем server):

authenticator = manual
server = https://acme-v02.api.letsencrypt.org/directory
webroot-path = /var/www/html
post-hook = service nginx reload
text = True

Опять запускаем команду для генерации сертификатов:

./certbot-auto certonly -d *.eddev.cf -d eddev.cf \
    --preferred-challenges dns-01

В процессе нужно будет выполнить несколько стандартных действий (ввести или подтвердить существующий почтовый ящик, согласиться с условиями использования и т.д.) и добавить в DNS пару TXT-записей для перечисленных доменов. Выглядеть это будет примерно так (вывод сильно сокращен):

Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator manual, Installer None
...

Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for eddev.cf
dns-01 challenge for eddev.cf

...
-------------------------------------------------------------------------------
Please deploy a DNS TXT record under the name
_acme-challenge.eddev.cf with the following value:

fAXDHivfJTlzam0GGwxogvM1pdtnsh2CvJc9LUuNg1c

Before continuing, verify the record is deployed.
-------------------------------------------------------------------------------
Press Enter to Continue

-------------------------------------------------------------------------------
Please deploy a DNS TXT record under the name
_acme-challenge.eddev.cf with the following value:

48B-49zYhnasCoxy7VtZOWmMtfEZFG24j7L6wWkwmiE

Before continuing, verify the record is deployed.
-------------------------------------------------------------------------------
Press Enter to Continue

Waiting for verification...
Cleaning up challenges
Running post-hook command: service nginx reload

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/eddev.cf/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/eddev.cf/privkey.pem
...

Далее с новыми бесплатными сертификатами от Let’s Encrypt можно работать как и раньше, например, использовать в связке с web-сервером Nginx.

Добавить комментарий