1. chamaharun

    No comment

    chamaharun
Changes in body
Source | HTML | Preview
@@ -1,95 +1,95 @@
-ワイルドカード証明書記事第3ですw
+ワイルドカード証明書記事第3ですw
* [Let's Encrypt (certbot) を使ってワイルドカード証明書する!(あとちょっと)](https://qiita.com/chamaharun/items/9b8c00d14c05c025febd)
* [Let's Encrypt (certbot) でワイルドカード証明書できた!](https://qiita.com/chamaharun/items/566c78bb8a13b4c2bc16)
Let's Encryptの公式推奨クライアントであるcertbotがバージョンさくらのクラウドDNSに対応したので、検証してみました。
#### おことわり
pipではcertbotが記事執筆時点(2018/07/21)で0.26.1が最新バージョンらしく、本記事ではpipで一からインストールしています。
一方yum(epel)ではまだ0.25.1なので、yumで入れた方は0.26以降が配信されるのを待ったほうが良いかもです。
## 準備
* さくらのクラウドDNSでゾーンが登録されていて、レコードが利用可能な前提で進めます。
* 詳しくは[公式ドキュメント](https://manual.sakura.ad.jp/cloud/appliance/dns/index.html)を参照してください。
### certbot 0.26.1 のインストール
pipからインストールしてます。
前回の記事同様、setuptoolsが古いと怒られたのでupgradeしてます。
``` bash
$ yum -y install python-pip
$ pip install pip --upgrade
$ pip install setuptools --upgrade
$ pip install certbot
$ pip install certbot-dns-sakuracloud
```
### さくらのクラウドのAPIの認証情報を用意
さくらのクラウドのコントロールパネルから、APIキーを発行します。
<img width="907" alt="スクリーンショット 2018-07-21 09.09.28.png" src="https://qiita-image-store.s3.amazonaws.com/0/104051/f73ca224-a305-d582-7cee-bcc7c8be424b.png">
以下の形式で認証情報を記述したファイルを用意します。
今回は ` ~/.sakura ` というファイル名にしています。
パーミッションは600とかにしとかないとunsafeだと怒られます。
``` python:~/.sakura
dns_sakuracloud_api_token = 'アクセストークン'
dns_sakuracloud_api_secret = 'アクセストークンシークレット'
```
## 証明書を取得
` --dns-sakuracloud-credentials ` オプションで認証情報ファイルを指定します。
```bash
$ certbot certonly --dns-sakuracloud \
--dns-sakuracloud-credentials ~/.sakura \
-d *.ドメイン \
-m メールアドレス \
--manual-public-ip-logging-ok \
--agree-tos
```
* manual-public-ip-logging-ok グローバルIPが記録されることへの同意
* agree-tos 利用規約への同意
* これらのオプションをつけておかないと同意するか確認される。
## 結果
取得できた!
```bash
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator dns-sakuracloud, Installer None
Obtaining a new certificate
Performing the following challenges:
dns-01 challenge for ドメイン
Waiting 90 seconds for DNS changes to propagate
Waiting for verification...
Cleaning up challenges
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/ドメイン/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/ドメイン/privkey.pem
Your cert will expire on 2018-10-18. To obtain a new or tweaked
version of this certificate in the future, simply run certbot
again. To non-interactively renew *all* of your certificates, run
"certbot renew"
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
```
## まとめ
* certbotのDNSプラグインにさくらのクラウドDNSが追加された。
* 認証情報のファイルを用意し、オプションで指定することで、APIを叩かなくてもワイルドカード証明書が発行される。
* 簡単。
## おまけ
* 多分更新は certbot renew コマンドですんなり行くと思います。
* OSC Hokkaido 2018 で[ワイルドカードネタを発表](https://speakerdeck.com/chamaharun/lets-encryptdeshi-merusslzheng-ming-shu)しました。