Blue_Duck Jul 6 at 08:30

Создание wildcard сертификата от Let`s Encrypt

Easy

4 min

4.9K

Development for Linux*DNS*Server Administration*System administration*

Tutorial

-2

Comments 10

Anonym Jul 6 at 16:23

А можно просто взять acme.sh

Blue_Duck Jul 7 at 09:33

да, но чтобы воспользоваться скриптом с собственными dns-ами, вам придется создавать свой TSIG ключ и прописывать его и проверять что с ним с ним все работает верно, а это по суть бОльшая часть работы. Да и контроля над процессом в случае использования скрипта меньше

karabanov Jul 6 at 17:54

с помощью nginx такой сертификат создать невозможно

С помощью Angie возможно, причём если в качестве NS сервера указать сервере с Angie, даже отдельный механизм для добавления TXT записи в DNS не понадобится.

Blue_Duck Jul 7 at 09:38

Честно говоря получение сертификата на angine да, видимо возможно, но как будто очень специфичный метод, который я даже не представляю где бы можно было использовать, кроме каких-то собтсвенных домашних доменов

karabanov Jul 7 at 11:28

Методы получения сертификата там точно такие же, как и у certbot - никто не запрещает добавлять TXT запись скриптом, но задачу можно упростить добавив для этого домена NS запись указывающую на сервер с Angie, но делать это не обязательно

Blue_Duck Jul 7 at 13:12

не до конца понятно как это работает если у вас больше одного NS сервера. В этой схеме запись распространяется на слейв сервера стандартными методами. А в случае если один из серверов angie, как это будет работать? Проверка из let`s encrypt ведь может прилететь на любой из них

karabanov Jul 7 at 16:17

Я выше приводил ссылку на документацию с готовым примером - NS надо прописать только для _acme-challenge:

_acme-challenge.example.com. 60    IN      NS       ns.example.com.
             ns.example.com. 60    IN       A       93.184.215.14

Прочие NS сервера, в данном случае, не играют роли и никак не помешают, равно как и им это не помешает.

На HTTP-проверку Angie отвечает сам, вот и на DNS-проверку он тоже способен ответить сам - не придётся генерировать ключи, писать скрипты или длинные команды в консоли.

Между тем повторюсь - обычный механизм с добавлением TXT записи в DNS так же доступен и в той же документации описан.

WhiteT Jul 6 at 18:53

А можно при перепечатывании статьи, хотя бы писать нормально? wildcart это вообще что за слово такое?

Razoon Jul 8 at 11:20

Дикая повозка, очевидно же)

HexHammer Jul 11 at 05:25

Хорошая статья, мне помогла!

Правда лично мне не хватило упоминания, что помимо редактирования named.conf.local, на мастере, нужно еще добавить зону в такой же конфиг на слейвах. Выглядит это приблизительно вот так:

zone "_acme-challenge.example.com" {
        type slave;
        file "slaves/файл с зоной";
        masters { <ip мастер серверов>};
};

И да, файл с зоной на слейве создавать не нужно. Он появится сам. Ну и ребутнуть bind не забудьте как на мастере, так и на слейве)

И вот здесь dns_rfc2136_name = <имя зоны для которой выпускается сертификат>, должно быть вот так dns_rfc2136_name = <имя TSIG ключа>. Иначе certbot у меня падал с ошибкой по поводу ключа. Если что, имя ключа будет в файле после команды tsig-keygen, в ней как раз оно и задается=)