Certbot: ACMEv2를 활성화하고 와일드카드 인증서를 검색하려면 어떻게 해야 합니까?

DNS-01 챌린지를 사용해야 합니다. 즉, 서버 내에서 DNS 영역을 수정 및 게시하고 업데이트할 수 있는 방법이 있어야 합니다.

이에 대한 깃발을 말씀해 주시겠습니까?

단순한 플래그가 아니라 문서에서 모든 것을 사용할 수 있습니다. 그것들은 거기에 나열된 여러 DNS 제공자에 대한 플러그인입니다. 귀하의 것이 아니라면 여기에서 기능 요청을 열어 지원을 요청할 수 있습니다(예를 들어 Gandi와 같은 것에 대해 이미 일부가 열려 있으므로 열기 전에 검색을 사용하십시오. 새로운).

흠 아니요, 실제로 certbot >= 0.22 가 필요합니다. 첫 번째 게시물에서 놓쳐서 죄송합니다.

알겠습니다.... 설치하려면 어떻게 해야 합니까? 소스에서 컴파일해야 하나요?

PPA에 게시될 때까지 기다리거나 pip 또는 이와 유사한 것을 통해 설치하거나 실제로 소스에서 빌드할 수 있습니다.

내가 당신이라면 공식 패키지가 업데이트되기를 기다리겠습니다. 이렇게 하면 DNS 챌린지를 올바르게 설정하는 방법을 살펴볼 수 있습니다. 와일드카드 없이 이미 모든 것이 작동하는지 확인할 수 있으며 업데이트를 사용할 수 있게 되면(오래 걸리지 않아야 함) 다음을 수행할 준비가 됩니다. 와일드 카드 인증서를 받으십시오.

예, 소스에서 certbot을 사용할 수 있습니다.

root<strong i="6">@cs12</strong>:~# git clone https://github.com/certbot/certbot
...
root<strong i="7">@cs12</strong>:~# DOMAIN=example.com
root<strong i="8">@cs12</strong>:~# cd certbot 
root<strong i="9">@cs12</strong>:~/certbot# ./certbot-auto certonly --manual -d *.$DOMAIN -d $DOMAIN --agree-tos --manual-public-ip-logging-ok --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory
...
-------------------------------------------------------------------------------
Please deploy a DNS TXT record under the name
_acme-challenge.example.com with the following value:

qqiR_lsa2AjMfoVR16mH4UDbOxy_E02l0K1CNyz1RdI

Before continuing, verify the record is deployed.
-------------------------------------------------------------------------------
Press Enter to Continue

TXT 레코드를 추가하고 Enter 키를 누릅니다. 또 하나의 기록을 얻게 됩니다. 그것도 추가하세요.

그런 다음 레코드가 배포되었는지 두 번째 터미널 창에서 확인합니다.

root<strong i="15">@cs12</strong>:~# host -t txt _acme-challenge.example.com
_acme-challenge.example.com descriptive text "qqiR_lsa2AjMfoVR16mH4UDbOxy_E02l0K1CNyz1RdI"
_acme-challenge.example.com descriptive text "oMmMa-fDLlebdUhvhMD5MinJ2EeFpdP0F9lUPTShh4w"

괜찮으면 돌아가서 Enter 키를 누릅니다.

Waiting for verification...
Cleaning up challenges

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/example.com/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/example.com/privkey.pem
   Your cert will expire on 2018-06-11. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot-auto
   again. To non-interactively renew *all* of your certificates, run
   "certbot-auto renew"
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

업데이트: 인증서 설치, 설정 및 갱신 단계가 포함 된 Gist의 전체

@ArchangeGabriel에 대해 자세히 답변해 주셔서 감사합니다! 우리는 Ubuntu용 패키지를 업데이트하는 중이며 곧 출시될 예정입니다.

@ohemorange 천만 에요! 솔직히 말해서, DNS-01 문제가 무엇인지에 대한 통찰력이 없는 상태에서 와일드카드 인증서를 얻으려고 하는 사람들이 유입되는 것을 볼 수 있을지 두려웠지만 (적어도 아직까지는) 일어나지 않은 것 같습니다.

@talyguryn , 조치

와일드 카드를 사용하여 apex에서 하나의 인증서를 생성하면 __two__ 문제가 발생합니다.

-d "example.com, *.example.com" _apex에 대한 인증서 제공 및 apex에 대한 와일드카드_

example.com 대해 한 번, *.example.com 대해 다시 한 번 _두 번_ 도전할 것입니다.

따라서 두 번째 도전에서 실패했다고 생각하지 마십시오. 값을 변경해야 합니다. DNS에 추가 챌린지를 추가하기만 하면 됩니다. 전파를 기다렸다가 계속하십시오.

문제가 있는 도메인을 더 쉽게 볼 수 있도록 출력을 변경해야 합니까?

문서: https://sinkcup.github.io/letsencrypt-wildcard-certificate

@AubreyHewes , 저도 같은 문제가 있습니다. example.com 및 *.example.com 모두에 대해 단일 인증서를 발급하는 방법을 잘 모르겠습니다. 불행히도 certbot을 사용하려면 TXT 레코드를 두 번 수정해야 합니다. 이로 인해 도메인 중 하나에 대한 유효성 검사가 실패합니다. 이 문제를 해결하는 방법이 있습니까?

@nathan-alden TXT 레코드를 동시에 설정해야 합니다. 두 번째 항목을 추가할 때 첫 번째 항목을 삭제하지 마십시오.

@nathan-alden
두 가지 문제가 발생합니다. 이것은 certbot과 같은 _seems_가 동일한 TXT를 다시 수정하기를 원합니다. 그러나 두 번째 값은 두 번째 도메인에 대한 것이므로 두 번째 도메인에 대한 새 TXT 레코드를 추가합니다.

즉
-d "example.com,*.example.com" 하는 경우 첫 번째 도전은 example.com 이므로 이에 대한 TXT를 추가하십시오. 전파 후 계속하십시오.
두 번째 도전은 *.example.com 것이므로 이에 대한 TXT를 추가하십시오. 전파 후 계속하십시오.

나는 도커 버전을 사용하는 좋은 경험을 했다. 참고로 TXT 항목의 TTL을 1분 정도로 설정하여 두 번째 항목이 전파될 때까지 1시간을 기다릴 필요가 없습니다.

docker run -it --name certbot \
  -v <certs>:/etc/letsencrypt \
  -v <logs>:/var/lib/letsencrypt \
  certbot/certbot certonly --manual \ 
  -d *.<domain.com> -d <domain.com> \
  --agree-tos \
  --manual-public-ip-logging-ok \ 
  --preferred-challenges dns-01 \
  --server https://acme-v02.api.letsencrypt.org/directory

궁금하다. dns-01 가 필요한 이유는 무엇입니까? 포트 80(모든 형태의 http 챌린지)에 서버를 생성하고 N개의 임의 하위 도메인을 생성하고 연결하여 와일드카드 도메인을 소유하고 있는지 조사할 수 없습니까?

@AubreyHewes , DNS에서 하나의 챌린지/레코드만 필요하다는 것을 알았습니다. 올바른 것을 추측하기만 하면 됩니다.

4개의 도메인과 해당 와일드카드에 대해 하나의 인증서가 있습니다. 모든 도메인에는 하나의 TXT _acme-challenge만 있습니다. 3개의 도메인이 certbot 출력의 첫 번째 챌린지에서 작동하고 실행할 때마다 값이 동일한 것처럼 보이기 때문에 상당히 일관성이 없습니다.

네 번째 도메인은 출력의 첫 번째 레코드에서 작동하지 않지만 두 번째 도메인에서는 작동하며 이 도메인은 certbot을 실행할 때마다 변경되는 것 같습니다.

이 명령을 사용합니다.

/usr/bin/certbot --renew-by-default certonly --manual --server https://acme-v02.api.letsencrypt.org/directory --preferred-challenges dns-01 -w /usr/share/nginx/letsencrypt-root/ -d *.domain1.sk -d domain1.sk -d *.domain2.sk -d domain2.sk -d *.domain3.sk -d domain3.sk -d *.domain4.sk -d domain4.sk

시행착오를 거쳐 이 작업을 수행했습니다. 다른 값을 가진 두 개의 동일한 DNS 레코드를 가질 수 있다는 사실을 몰랐습니다 :-) 다음에 시도해 보겠습니다.

@robertvalik example.com 및 *.example.com 포함하여 두 가지 다른 유효성 검사에 대해 동일한 TXT 레코드 값을 사용할 수 없습니다.

Let's Encrypt를 사용하면 현재 30일 동안 인증을 재사용할 수 있습니다. 계정이 최근에 인증한 경우 다시 인증하지 않고도 더 많은 인증서를 발급할 수 있습니다. 그러나 Certbot 제한(#5342)으로 인해 Certbot은 다시 확인하지 않더라도 동일한 TXT 레코드를 다시 설정하도록 요청합니다.

따라서 이름 중 하나에 대해 이미 유효한 인증이 있었기 때문에 필요한 DNS 레코드가 더 이상 존재하지 않는다는 사실이 문제가 되지 않았을 것입니다.

@francoism90 여러 가지 이유로 와일드카드 도메인을 원할 수 있습니다. 하나는 정적 하위 도메인을 거의 제공하지 않을 수 있고 다른 하나는 잠재적으로 무한한 하위 도메인(예: 서비스로서의 소프트웨어)을 제공할 수 있습니다. 후자의 경우(내 경우) 이미 DNS 파일에 와일드카드가 있고 실제로 임의의 하위 도메인이 제대로 확인되어야 합니다. 이 시나리오에 대해 http 챌린지 형식을 제공할 수 있는지 궁금합니다. 모든 노력에 감사드립니다!

발급하여 인증서 생성에 성공했습니다.

./certbot-auto certonly --manual -d *.example.com -d example.com --agree-tos --manual-public-ip-logging-ok --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory

이제 인증서를 갱신하는 방법이 궁금합니다.

<> certbot renew
<> certbot-renew
<> certbot-auto renew

혼란스러워서 ./certbot-auto renew 요청할 때 동일한 명령을 사용했기 때문에 시도했지만 올바른 방법인지 확인하고 싶습니다.

와일드카드 인증을 자동화할 수 있습니까?

@ufo911 물론이죠. 예를 들어 Certbot의 RFC 2136 플러그인 사용 :

certbot certonly \
  --dns-rfc2136 \
  --dns-rfc2136-credentials ~/.secrets/certbot/rfc2136.ini \
  --server https://acme-v02.api.letsencrypt.org/directory \
  -d example.com \
  -d "*.example.com"

또는 acme-dns 수동 인증 후크 :

certbot certonly \
  --debug-challenges \
  --manual \
  --manual-auth-hook /etc/letsencrypt/acme-dns-auth.py \
  --server https://acme-v02.api.letsencrypt.org/directory \
  -d example.com \
  -d "*.example.com"

https://certbot.eff.org/docs/using.html
https://community.letsencrypt.org/t/getting-wildcard-certificates-with-certbot/56285

도움이 필요하면 Let's Encrypt 포럼 에 주제를 게시할 수 있습니다.

@mnordhoff
갱신할 때마다 DNS TXT 레코드가 활성화되어야 합니까?

@ufo911 물론 갱신은 이전 매개변수를 재사용하는 인증서 요청일 뿐입니다.

@ArchangeGabriel Stange 새 TXT 레코드를 설정하라는 메시지가 표시됩니다.

#!/bin/bash
certbot certonly \
  --manual \
  --agree-tos \
  --manual-public-ip-logging-ok \
  --preferred-challenges dns-01 \
  --server https://acme-v02.api.letsencrypt.org/directory \
  -d domain.tld \
  -d "*.domain.tld"

이게 정상인가요? 새로운 토큰이 생성되는 이유는 무엇입니까?

명확하지 않은 경우 죄송합니다. 예, 각 요청에 대해 새 TXT 레코드가 있습니다. 이것은 챌린지-응답 검증이기 때문에 챌린지를 재사용하는 것은 매우 나쁜 생각이 될 것입니다.

따라서 실제로 인증서를 받는 즉시 TXT 레코드를 제거할 수 있지만 갱신할 때마다 게시(성공하면 제거)할 새 TXT 레코드가 있습니다.

@ArchangeGabriel 흠, 그것이 나를 위한 옵션이라고 생각하지 마십시오. 새 TXT 레코드를 만드는 데 24시간이 걸릴 수 있으며 문제가 발생하면 많은 다운타임이 발생합니다.

대신 일반적인 방법을 사용하겠습니다. :)

물론 DNS 챌린지가 가장 쉬운 것은 아닙니다. 그러나 와일드 카드의 경우 적어도 현재로서는 다른 가능성이 없습니다. 예를 들어 와일드카드 공간에 있는 임의의 하위 도메인 이름으로 챌린지를 보내는 것으로 대체될 수 있는지는 모르겠습니다(예: *.domain.com 를 요청하면 somerandomstring.domain.com 에서 챌린지 응답을 읽으려고 시도할 것입니다). *.domain.com 공간을 실제로 제어할 수 있는지 확인합니다. 이 방법으로 DNS에서 와일드카드 리디렉션을 사용하는 것으로 충분합니다.

@ArchangeGabriel 이것은 좋은 옵션이지만 이 경우에도 DNS 확인이 필요합니까? 안전한 와일드카드 설정에 필요한 것을 제공합니까?

아니요, 제 생각은 DNS 챌린지에 대한 대안을 제공하는 것입니다.

와일드카드 설정의 경우 모든 하위 도메인에 대한 제어를 증명해야 합니다. 이를 수행하는 유일한 확실한 방법은 해당 DNS 영역의 기술적 소유권을 증명하는 것입니다.

이제 다른 도전 유형과 유사한 다른 방법이 있는지 궁금합니다. 임의의 하위 도메인을 요청하면 와일드카드 리디렉션을 제어할 수 있음을 증명할 수 있습니다. IETF에 충분한지 여부는 모르겠지만, 그들은 그것에 대해 생각했고 몇 가지 문제가 있을 것입니다.

예를 들어 이 경우가 가능한지 궁금합니다.
– somespecificsub.domain.com은 주어진 IP를 가리킵니다.
– *.domain.com 및 domain.com은 다른 IP를 가리킵니다.

이 경우 somespecificsub.domain.com을 제외한 기본 도메인과 모든 하위 도메인에 대한 요청에 응답할 수 있습니다. 그리고 *.domain.com 인증서를 제공하는 것은 옳지 않다고 생각합니다. 따라서 가능하다면 추가 설정이 필요합니다. 와일드카드 챌린지 응답에 대해 임의의 하위 도메인 확인을 수행할 권한이 있음을 알리는 영구 TXT 레코드와 같습니다. 그렇게 하면 DNS 구성이 실행되고 잊어버리므로 와일드카드의 유효성을 더 쉽게 확인할 수 있습니다.

어쨌든, 나는 이것이 누구와 논의되어야 하는지, 그리고 그들이 이 설정을 어느 시점에서 고려했는지, 그리고 와일드카드를 안전하게 전달하기 위해 필요한 정확한 기준이 무엇인지 모릅니다. 나는 그것을 위해 RFC를 읽어야 한다고 생각하지만 나는 이것을 할 시간이 없다.