Certbot: ACMEv2とワイルドカード証明書の取得を有効にするにはどうすればよいですか？

DNS-01チャレンジを使用する必要があります。 つまり、サーバーを使用せずにDNSゾーンを変更、公開、および更新する方法が必要です。

この旗を教えてください。

これは単なるフラグではありませんが、

いいえ、実際にはcertbot >= 0.22が必要です。最初の投稿でそれを見逃してしまったことをお詫びします。

OK ....どうすればインストールできますか？ ソースからコンパイルする必要がありますか？

PPAで公開されるのを待つか、pipまたは同様のものを介してインストールするか、実際にソースからビルドすることができます。

私はあなたでしょうか、私はむしろ公式パッケージが更新されるのを待ちたいです。 これにより、DNSチャレンジを適切に設定する方法を確認できます。これは、すべてが機能することを確認するためだけにワイルドカードを使用せずに試すことができます。その後、更新が利用可能になると（長くはかからないはずです）、準備が整います。ワイルドカード証明書を取得します。

ええ、あなたはソースからcertbotを使うことができます

root<strong i="6">@cs12</strong>:~# git clone https://github.com/certbot/certbot
...
root<strong i="7">@cs12</strong>:~# DOMAIN=example.com
root<strong i="8">@cs12</strong>:~# cd certbot 
root<strong i="9">@cs12</strong>:~/certbot# ./certbot-auto certonly --manual -d *.$DOMAIN -d $DOMAIN --agree-tos --manual-public-ip-logging-ok --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory
...
-------------------------------------------------------------------------------
Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

qqiR_lsa2AjMfoVR16mH4UDbOxy_E02l0K1CNyz1RdI

Before continuing, verify the record is deployed.
-------------------------------------------------------------------------------
Press Enter to Continue

TXTレコードを追加するEnterキーを押します。 別の1つのレコードを取得します。 それも追加します。

次に、レコードがデプロイされているかどうかを2番目のターミナルウィンドウで確認し

root<strong i="15">@cs12</strong>:~# host -t txt _acme-challenge.example.com
_acme-challenge.example.com descriptive text "qqiR_lsa2AjMfoVR16mH4UDbOxy_E02l0K1CNyz1RdI"
_acme-challenge.example.com descriptive text "oMmMa-fDLlebdUhvhMD5MinJ2EeFpdP0F9lUPTShh4w"

よろしければ、戻ってEnterキーを押します

Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2018-06-11. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

更新：証明書のインストール、設定、更新の手順が記載されたGistの完全

@ArchangeGabrielに徹底的に答えてくれてありがとう！ 私たちはUbuntuのパッケージの更新に取り組んでおり、まもなくリリースされることを願っています。

@ohemorangeどういたしまして！ 正直なところ、DNS-01の課題が何であるかについての洞察がないまま、ワイルドカード証明書を取得しようとする人々の流入が見られるのではないかと心配しましたが、明らかにそれは起こりませんでした（少なくとも）。

@talygurynのフォローアップとして、ニース1 @talyguryn、

ワイルドカードを使用して頂点に1つの証明書を作成すると、__ two__チャレンジが発生します。

-d "example.com, *.example.com"を使用して_頂点の証明書と頂点のワイルドカードを教えてください_

あなたは一度のため_twice_、挑戦されますexample.comと再びのための*.example.com

したがって、2番目のチャレンジで失敗したとは思わないでください。値を変更する必要があります。 DNSにチャレンジを追加するだけです。 伝播を待って続行し、

おそらく、どのドメインがチャレンジされているかを簡単に確認できるように、出力を変更する必要がありますか？

ドキュメント： https ：

@AubreyHewes 、同じ問題が発生しています。 example.comと*.example.com両方に対して単一の証明書を発行する方法がわかりません。 残念ながら、certbotではTXTレコードを2回変更する必要があります。 これにより、ドメインの1つで検証が失敗します。 これを回避する方法はありますか？

@ nathan-alden両方のTXTレコードを同時に設定する必要があります。 2番目のものを追加するときに最初のものを削除しないでください。

@ nathan-alden
2つの課題があります。certbotのようなこの_seems_は、同じTXTを再度変更することを求めています。 ただし、2番目の値は2番目のドメイン用であるため、2番目のドメインに新しいTXTレコードを追加します。

NS
-d "example.com,*.example.com"を使用する場合、最初の課題はexample.comため、これにTXTを追加します。 伝播後も続行します。
2番目の課題は*.example.comため、これにTXTを追加します。 伝播後も続行します。

Dockerバージョンを使用して良い経験をしました。 補足として、TXTエントリのTTLを1分程度に設定して、2番目のエントリが伝播するまで1時間待つ必要がないようにしてください。

docker run -it --name certbot \
  -v <certs>:/etc/letsencrypt \
  -v <logs>:/var/lib/letsencrypt \
  certbot/certbot certonly --manual \ 
  -d *.<domain.com> -d <domain.com> \
  --agree-tos \
  --manual-public-ip-logging-ok \ 
  --preferred-challenges dns-01 \
  --server https://acme-v02.api.letsencrypt.org/directory

不思議に思う。 なぜdns-01必要なのですか。 ポート80（任意の形式のhttpチャレンジ）でサーバーを生成し、N個のランダムなサブドメインを生成して接続することでワイルドカードドメインを所有していることを確認できませんか？

@ AubreyHewes 、DNSに必要なチャレンジ/レコードは1つだけであることがわかりました。正しいものを推測するだけです。

4つのドメインとそのワイルドカードに対して1つの証明書があります。 すべてのドメインには、TXT_acme-challengeが1つだけあります。 3つのドメインがcertbot出力の最初のチャレンジで機能し、実行するたびに値が同じように見えるため、かなり一貫性がありません。

4番目のドメインは出力の最初のレコードでは機能しませんが、2番目のドメインでは機能します。これは、certbotを実行するたびに変更されるようです。

私はこのコマンドを使用します：

/usr/bin/certbot --renew-by-default certonly --manual --server https://acme-v02.api.letsencrypt.org/directory --preferred-challenges dns-01 -w /usr/share/nginx/letsencrypt-root/ -d *.domain1.sk -d domain1.sk -d *.domain2.sk -d domain2.sk -d *.domain3.sk -d domain3.sk -d *.domain4.sk -d domain4.sk

私は試行錯誤でこれを行いました-異なる値を持つ2つの同じDNSレコードを持つことができることを知りませんでした:-)次回はそれを試します。

@robertvalik example.comと*.example.comを含む2つの異なる検証に同じTXTレコード値を使用することはできません。

Let's Encryptを使用すると、承認をしばらくの間、現在は30日間再利用できます。 アカウントが最近何かを検証した場合、再度検証しなくても、より多くの証明書を発行できます。 ただし、Certbotの制限（＃5342）により、Certbotは、再度チェックされない場合でも、同じTXTレコードを再度設定するように要求します。

つまり、名前の1つに対してすでに有効な認証が存在していたため、必要なDNSレコードが存在しなくなったという事実は問題ではありませんでした。

@ francoism90いくつかの理由でワイルドカードドメインが必要になる場合があります。静的サブドメインをいくつか提供する場合もあれば、無限のサブドメインを提供する場合もあります（サービスとしてのソフトウェアなど）。 後者の場合（私の場合）、DNSファイルにすでにワイルドカードがあり、実際にはランダムなサブドメインが適切に解決されるはずです。 このシナリオでhttpチャレンジの形式を提供できるかどうか疑問に思っています。 頑張ってくれてありがとう！

発行して証明書を生成することに成功しました

./certbot-auto certonly --manual -d *.example.com -d example.com --agree-tos --manual-public-ip-logging-ok --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory

どうすれば証明書を更新できるのか疑問に思っています

<> certbot renew
<> certbot-renew
<> certbot-auto renew

混乱しています。リクエスト時に同じコマンドを使用したため、 ./certbot-auto renewを試しましたが、それが正しい方法かどうかを確認したいだけです。

ワイルドカード証明書を自動化できますか？

@ ufo911もちろんです。 たとえば、CertbotのRFC2136プラグインを使用し

certbot certonly \
  --dns-rfc2136 \
  --dns-rfc2136-credentials ~/.secrets/certbot/rfc2136.ini \
  --server https://acme-v02.api.letsencrypt.org/directory \
  -d example.com \
  -d "*.example.com"

またはacme-dns手動認証フック：

certbot certonly \
  --debug-challenges \
  --manual \
  --manual-auth-hook /etc/letsencrypt/acme-dns-auth.py \
  --server https://acme-v02.api.letsencrypt.org/directory \
  -d example.com \
  -d "*.example.com"

https://certbot.eff.org/docs/using.html
https://community.letsencrypt.org/t/getting-wildcard-certificates-with-certbot/56285

ヘルプが必要な場合は、 Let'sEncryptフォーラムにトピックを投稿できます。

@mnordhoff
更新のたびにDNSTXTレコードを有効にする必要がありますか？

@ ufo911もちろん、更新は、前のパラメーターを再利用する単なる証明書要求です。

@ArchangeGabriel Stangeは、新しいTXTレコードを設定するように指示していると言っています。

#!/bin/bash
certbot certonly \
  --manual \
  --agree-tos \
  --manual-public-ip-logging-ok \
  --preferred-challenges dns-01 \
  --server https://acme-v02.api.letsencrypt.org/directory \
  -d domain.tld \
  -d "*.domain.tld"

これは正常ですか？ 新しいトークンが生成されるのはなぜですか？

はっきりしなかった場合は申し訳ありませんが、はい、リクエストごとに新しいTXTレコードがあります。 これはチャレンジ/レスポンス検証であり、チャレンジを再利用することは非常に悪い考えであるためです。

したがって、実際には、証明書を取得するとすぐにTXTレコードを削除できますが、更新するたびに公開する（成功すると削除する）新しいTXTレコードがあります。

@ArchangeGabrielうーん、それが私にとっての選択肢だとは思わない。 新しいTXTレコードの作成は、完了するまでに24時間かかる場合があり、問題が発生した場合は、多くのダウンタイムが発生します。

代わりに一般的な方法を使用します。 :)

確かに、DNSチャレンジは最も簡単なものではありません。 ただし、ワイルドカードの場合、少なくとも現時点では、他の可能性はありません。 たとえば、ワイルドカードスペースのランダムなサブドメイン名にチャレンジを送信することでこれを置き換えることができるかどうかはわかりません（たとえば、 *.domain.comを要求した場合、 somerandomstring.domain.comでチャレンジレスポンスを読み取ろうとします） *.domain.comスペース全体を実際に制御できることを確認します）。 この方法では、DNSでワイルドカードリダイレクトを使用するだけで十分です。

@ArchangeGabrielこれは良いオプションですが、この場合でもDNS検証が必要ですか？ 安全なワイルドカード設定に必要なものを提供していますか？

いいえ、私の考えはDNSチャレンジの代替手段を提供することです。

ワイルドカードを設定するには、すべてのサブドメインを制御できることを証明する必要があります。 これを行う唯一の明白な方法は、対応するDNSゾーンの技術的所有権を証明することです。

今、私は他のチャレンジタイプのような別の方法があるのではないかと思っています。 ランダムなサブドメインを尋ねると、ワイルドカードのリダイレクトを制御できることが証明されます。 IETFにとってそれで十分かどうかはわかりませんが、彼らはそれについて考えていたと思います。いくつかの問題があるに違いありません。

たとえば、私はこのケースが可能かどうか疑問に思っています：
– somespecificsub.domain.comは、特定のIPを指します。
– * .domain.comおよびdomain.comは別のIPを指します。

その場合、somespecificsub.domain.comを除くメインドメインと任意のサブドメインのリクエストに応答できます。 そして、*。domain.com証明書を提供するのは正しくないと思います。 したがって、それが可能であれば、追加のセットアップが必要になります。 ワイルドカードチャレンジレスポンスに対してランダムなサブドメイン検証を行うことが許可されていることを示す永続的なTXTレコードのように。 そうすれば、DNS構成は簡単に忘れられ、ワイルドカードをより簡単に検証できます。

とにかく、これについて誰と話し合うべきか、どの時点でこの設定を検討したのか、ワイルドカードを安全に配信するために必要な正確な基準もわかりません。 そのためのRFCを読むべきだと思いますが、そのための時間がありません。