Let's Encrypt: Wildcard Certificate Support is Live

 ( toMpEr | 2018. március 13., kedd - 19:29 )

We’re pleased to announce that ACMEv2 and wildcard certificate support is live! With today’s new features we’re continuing to break down barriers for HTTPS adoption across the Web by making it even easier for every website to get and manage certificates.
ACMEv2 is an updated version of our ACME protocol which has gone through the IETF standards process, taking into account feedback from industry experts and other organizations that might want to use the ACME protocol for certificate issuance and management some day.
Wildcard certificates allow you to secure all subdomains of a domain with a single certificate. Wildcard certificates can make certificate management easier in some cases, and we want to address those cases in order to help get the Web to 100% HTTPS. We still recommend non-wildcard certificates for most use cases.

https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-support-is-live/55579

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

yes-yes-yes
+1

sub
--

+1

kipróbáltam, tényleg király

Kösz, már 1 hete vártam mikor jelentik be. Jó hír!

./certbot-auto --version
certbot 0.22.0

./certbot-auto -d "*.domain.com"
The currently selected ACME CA endpoint does not support issuing wildcard certificates.

Miért a hiba? Új regisztrációval is ugyanez.

Kösz.

Nekem se megy pedig beírtam a --server paramétert.
Logikus módon DNS hitelesítést kér, de nem találok erre vonatkozó kapcsolót csak olyan esetekre ha cloudflare/googleDNS/etc a DNS szolgáltató.


OPTIONS="certonly --webroot --expand --email email\@domain.hu --agree-tos -w /mnt/www/default/public_html/ --non-interactive --server https://acme-v02.api.letsencrypt.org/directory"

./letsencrypt/letsencrypt-auto $OPTIONS -d '*.domain.hu' -d 'domain.hu'

Requesting to rerun ./letsencrypt/letsencrypt-auto with root privileges...
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for domain.hu
Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA. You may need to use an authenticator plugin that can do challenges over DNS.
Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA. You may need to use an authenticator plugin that can do challenges over DNS.

Én így csináltam:

certbot --server https://acme-v02.api.letsencrypt.org/directory -d "domain.com" -d "*.domain.com" --manual --preferred-challenges dns certonly

Amit kiír felveendő TXT recordból meg kettő darab lesz, mindkettőt fel kell venni a DNS-be és várni a TTL lejáratáig mielőtt enterrel tovább mész.

Ez utána a végelges TXT rekord vagy változik futtatásonként majd? Remélem nem :)

Ez került a scriptembe amit cronal futtatok.

--non-interactive kapcsoló nélkül futtatva kiírja a két TXT rekordot amit kézzel fel kell venni. Remélem ezeket már soha nem kell módosítanom :)


OPTIONS_DNS="certonly --expand --email nev\@domain.hu --agree-tos --non-interactive --server https://acme-v02.api.letsencrypt.org/directory --manual
--preferred-challenges dns --manual-auth-hook /bin/false

./letsencrypt/letsencrypt-auto $OPTIONS_DNS -d '*.domain.hu' -d 'domain.hu'

Nem gondolnám mert akkor oda az automatizáció.

Pedig...:)

Egyszer kell felvenni, megújításnál már nem.

Minden frissítésnél cserélni kell a DNS-ben a rekordok tartalmát, nem egyszeri a művelet. Csakis így lehet biztos benne a CA, hogy még mindig a kérelmező rendelkezik a DNS tartomány felett.

Javaslom nézzetek rá az acme.sh megoldásra a certbot helyett, mert rém egyszerű használni, mindenen megy, és például DNS téren vagy 20-30 fajta DNS-t támogat alapból. Pl. az ismert szolgáltatókon kívül van leírás/támogatás helyben futó BIND és PowerDNS-hez, stb.

> Minden frissítésnél cserélni kell a DNS-ben a rekordok tartalmát, nem egyszeri a művelet. Csakis így lehet biztos benne a CA, hogy még mindig a kérelmező rendelkezik a DNS tartomány felett.

Ennél jobb megoldás lett volna, ha egy publikus kulcsot kell berakni a DNS rekordba, amivel titkosítva érkezett volna a cert, így nem kellene mindig cserélgetni.

Az acme.sh-ban az a szép, hogy pure bash, és simán lehet user-ként futtatni. Így én tudom kézzel cserélgetni a cert-eket, nem egy automata nyulkál arrafelé root joggal.

Vajon van-e a certbotnak dokumentációja vagy csak találgatni lehet?

Van!

https://certbot.eff.org/docs/using.html?highlight=manual#dns-plugins
https://certbot.eff.org/docs/using.html?highlight=manual#manual

Például:
--preferred-challenges dns --manual --manual-auth-hook=/ez/megcsinalja/a/rekordot.sh --manual-cleanup-hook=/ez/torli/a/rekordot/cleanup.sh
--
HUP Firefox extension | Hupper hibajelentés

Lehet nem kerestem eléggé, de nem találtam meg a doksiban változik e a DNS auth rekord úgyhogy utánakérdeztem IRC-n.


Peng_: It will change when you renew.

Halacs: so if my current certificate expires on Jun 19, 2018, then I have to change my DNS records at that time. Right?

Peng_: At the latest. It's recommended to renew sooner (e.g. around May 19) so you have time to fix issues if they arise.

Peng_: Can you switch DNS providers, or delegate a subdomain to a provider you can update automatically?

Halacs: yeah, I'm thinking on this how I can do that.

Halacs: btw, why don't we authenticate via a static DNS record? (e.g. by an asymmetric key pair, where the issued certificate would be encrypted by a public key stored in the DNS)

Peng_: It's operating under regulations that require a new, random element to validation to prove continued, active control.

ccppuu: that doesn't meet CA/Browser forum requirements for domain validation methods

ccppuu: What Peng_ said :)

[Feliratkozás]

sub