1. chamaharun

    Posted

    chamaharun
Changes in title
+さくらのクラウドDNS + Let's Encrypt でワイルドカード証明書する!
Changes in tags
Changes in body
Source | HTML | Preview
@@ -0,0 +1,95 @@
+ワイルドカード証明書記事第3段ですw
+
+* [Let's Encrypt (certbot) を使ってワイルドカード証明書する!(あとちょっと)](https://qiita.com/chamaharun/items/9b8c00d14c05c025febd)
+* [Let's Encrypt (certbot) でワイルドカード証明書できた!](https://qiita.com/chamaharun/items/566c78bb8a13b4c2bc16)
+
+Let's Encryptの公式推奨クライアントであるcertbotがバージョンさくらのクラウドDNSに対応したので、検証してみました。
+
+
+
+#### おことわり
+pipではcertbotが記事執筆時点(2018/07/21)で0.26.1が最新バージョンらしく、本記事ではpipで一からインストールしています。
+一方yum(epel)ではまだ0.25.1なので、yumで入れた方は0.26以降が配信されるのを待ったほうが良いかもです。
+
+## 準備
+* さくらのクラウドDNSでゾーンが登録されていて、レコードが利用可能な前提で進めます。
+* 詳しくは[公式ドキュメント](https://manual.sakura.ad.jp/cloud/appliance/dns/index.html)を参照してください。
+
+### certbot 0.26.1 のインストール
+pipからインストールしてます。
+前回の記事同様、setuptoolsが古いと怒られたのでupgradeしてます。
+
+``` bash
+$ yum -y install python-pip
+$ pip install pip --upgrade
+$ pip install setuptools --upgrade
+$ pip install certbot
+$ pip install certbot-dns-sakuracloud
+```
+
+### さくらのクラウドのAPIの認証情報を用意
+さくらのクラウドのコントロールパネルから、APIキーを発行します。
+<img width="907" alt="スクリーンショット 2018-07-21 09.09.28.png" src="https://qiita-image-store.s3.amazonaws.com/0/104051/f73ca224-a305-d582-7cee-bcc7c8be424b.png">
+
+以下の形式で認証情報を記述したファイルを用意します。
+今回は ` ~/.sakura ` というファイル名にしています。
+パーミッションは600とかにしとかないとunsafeだと怒られます。
+
+``` python:~/.sakura
+dns_sakuracloud_api_token = 'アクセストークン'
+dns_sakuracloud_api_secret = 'アクセストークンシークレット'
+```
+
+## 証明書を取得
+` --dns-sakuracloud-credentials ` オプションで認証情報ファイルを指定します。
+
+```bash
+$ certbot certonly --dns-sakuracloud \
+ --dns-sakuracloud-credentials ~/.sakura \
+ -d *.ドメイン \
+ -m メールアドレス \
+ --manual-public-ip-logging-ok \
+ --agree-tos
+```
+
+ * manual-public-ip-logging-ok グローバルIPが記録されることへの同意
+ * agree-tos 利用規約への同意
+ * これらのオプションをつけておかないと同意するか確認される。
+
+## 結果
+取得できた!
+
+```bash
+Saving debug log to /var/log/letsencrypt/letsencrypt.log
+Plugins selected: Authenticator dns-sakuracloud, Installer None
+Obtaining a new certificate
+Performing the following challenges:
+dns-01 challenge for ドメイン
+Waiting 90 seconds for DNS changes to propagate
+Waiting for verification...
+Cleaning up challenges
+
+IMPORTANT NOTES:
+ - Congratulations! Your certificate and chain have been saved at:
+ /etc/letsencrypt/live/ドメイン/fullchain.pem
+ Your key file has been saved at:
+ /etc/letsencrypt/live/ドメイン/privkey.pem
+ Your cert will expire on 2018-10-18. To obtain a new or tweaked
+ version of this certificate in the future, simply run certbot
+ again. To non-interactively renew *all* of your certificates, run
+ "certbot renew"
+ - If you like Certbot, please consider supporting our work by:
+
+ Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
+ Donating to EFF: https://eff.org/donate-le
+
+```
+
+## まとめ
+* certbotのDNSプラグインにさくらのクラウドDNSが追加された。
+* 認証情報のファイルを用意し、オプションで指定することで、APIを叩かなくてもワイルドカード証明書が発行される。
+* 簡単。
+
+## おまけ
+* 多分更新は certbot renew コマンドですんなり行くと思います。
+* OSC Hokkaido 2018 で[ワイルドカードネタを発表](https://speakerdeck.com/chamaharun/lets-encryptdeshi-merusslzheng-ming-shu)しました。