We’re pleased to announce that ACMEv2 and wildcard certificate support is live! With today’s new features we’re continuing to break down barriers for HTTPS adoption across the Web by making it even easier for every website to get and manage certificates.
ACMEv2 is an updated version of our ACME protocol which has gone through the IETF standards process, taking into account feedback from industry experts and other organizations that might want to use the ACME protocol for certificate issuance and management some day.
Wildcard certificates allow you to secure all subdomains of a domain with a single certificate. Wildcard certificates can make certificate management easier in some cases, and we want to address those cases in order to help get the Web to 100% HTTPS. We still recommend non-wildcard certificates for most use cases.
https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-su…
- 3233 megtekintés
Hozzászólások
yes-yes-yes
+1
- A hozzászóláshoz be kell jelentkezni
sub
--
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
kipróbáltam, tényleg király
- A hozzászóláshoz be kell jelentkezni
Kösz, már 1 hete vártam mikor jelentik be. Jó hír!
./certbot-auto --version
certbot 0.22.0
./certbot-auto -d "*.domain.com"
The currently selected ACME CA endpoint does not support issuing wildcard certificates.
Miért a hiba? Új regisztrációval is ugyanez.
- A hozzászóláshoz be kell jelentkezni
--server https://acme-v02.api.letsencrypt.org/directory
probald igy
- A hozzászóláshoz be kell jelentkezni
Kösz.
- A hozzászóláshoz be kell jelentkezni
Nekem se megy pedig beírtam a --server paramétert.
Logikus módon DNS hitelesítést kér, de nem találok erre vonatkozó kapcsolót csak olyan esetekre ha cloudflare/googleDNS/etc a DNS szolgáltató.
OPTIONS="certonly --webroot --expand --email email\@domain.hu --agree-tos -w /mnt/www/default/public_html/ --non-interactive --server https://acme-v02.api.letsencrypt.org/directory"
./letsencrypt/letsencrypt-auto $OPTIONS -d '*.domain.hu' -d 'domain.hu'
Requesting to rerun ./letsencrypt/letsencrypt-auto with root privileges...
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator webroot, Installer None
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for domain.hu
Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA. You may need to use an authenticator plugin that can do challenges over DNS.
Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA. You may need to use an authenticator plugin that can do challenges over DNS.
- A hozzászóláshoz be kell jelentkezni
Én így csináltam:
certbot --server https://acme-v02.api.letsencrypt.org/directory -d "domain.com" -d "*.domain.com" --manual --preferred-challenges dns certonly
Amit kiír felveendő TXT recordból meg kettő darab lesz, mindkettőt fel kell venni a DNS-be és várni a TTL lejáratáig mielőtt enterrel tovább mész.
- A hozzászóláshoz be kell jelentkezni
Ez utána a végelges TXT rekord vagy változik futtatásonként majd? Remélem nem :)
- A hozzászóláshoz be kell jelentkezni
Ez került a scriptembe amit cronal futtatok.
--non-interactive kapcsoló nélkül futtatva kiírja a két TXT rekordot amit kézzel fel kell venni. Remélem ezeket már soha nem kell módosítanom :)
OPTIONS_DNS="certonly --expand --email nev\@domain.hu --agree-tos --non-interactive --server https://acme-v02.api.letsencrypt.org/directory --manual
--preferred-challenges dns --manual-auth-hook /bin/false
./letsencrypt/letsencrypt-auto $OPTIONS_DNS -d '*.domain.hu' -d 'domain.hu'
- A hozzászóláshoz be kell jelentkezni
Nem gondolnám mert akkor oda az automatizáció.
- A hozzászóláshoz be kell jelentkezni
Pedig...:)
- A hozzászóláshoz be kell jelentkezni
Egyszer kell felvenni, megújításnál már nem.
- A hozzászóláshoz be kell jelentkezni
Minden frissítésnél cserélni kell a DNS-ben a rekordok tartalmát, nem egyszeri a művelet. Csakis így lehet biztos benne a CA, hogy még mindig a kérelmező rendelkezik a DNS tartomány felett.
Javaslom nézzetek rá az acme.sh megoldásra a certbot helyett, mert rém egyszerű használni, mindenen megy, és például DNS téren vagy 20-30 fajta DNS-t támogat alapból. Pl. az ismert szolgáltatókon kívül van leírás/támogatás helyben futó BIND és PowerDNS-hez, stb.
- A hozzászóláshoz be kell jelentkezni
> Minden frissítésnél cserélni kell a DNS-ben a rekordok tartalmát, nem egyszeri a művelet. Csakis így lehet biztos benne a CA, hogy még mindig a kérelmező rendelkezik a DNS tartomány felett.
Ennél jobb megoldás lett volna, ha egy publikus kulcsot kell berakni a DNS rekordba, amivel titkosítva érkezett volna a cert, így nem kellene mindig cserélgetni.
- A hozzászóláshoz be kell jelentkezni
Az acme.sh-ban az a szép, hogy pure bash, és simán lehet user-ként futtatni. Így én tudom kézzel cserélgetni a cert-eket, nem egy automata nyulkál arrafelé root joggal.
- A hozzászóláshoz be kell jelentkezni
Vajon van-e a certbotnak dokumentációja vagy csak találgatni lehet?
Van!
https://certbot.eff.org/docs/using.html?highlight=manual#dns-plugins
https://certbot.eff.org/docs/using.html?highlight=manual#manual
Például:
--preferred-challenges dns --manual --manual-auth-hook=/ez/megcsinalja/a/rekordot.sh --manual-cleanup-hook=/ez/torli/a/rekordot/cleanup.sh
--
HUP Firefox extension | Hupper hibajelentés
- A hozzászóláshoz be kell jelentkezni
Lehet nem kerestem eléggé, de nem találtam meg a doksiban változik e a DNS auth rekord úgyhogy utánakérdeztem IRC-n.
Peng_: It will change when you renew.
Halacs: so if my current certificate expires on Jun 19, 2018, then I have to change my DNS records at that time. Right?
Peng_: At the latest. It's recommended to renew sooner (e.g. around May 19) so you have time to fix issues if they arise.
Peng_: Can you switch DNS providers, or delegate a subdomain to a provider you can update automatically?
Halacs: yeah, I'm thinking on this how I can do that.
Halacs: btw, why don't we authenticate via a static DNS record? (e.g. by an asymmetric key pair, where the issued certificate would be encrypted by a public key stored in the DNS)
Peng_: It's operating under regulations that require a new, random element to validation to prove continued, active control.
ccppuu: that doesn't meet CA/Browser forum requirements for domain validation methods
ccppuu: What Peng_ said :)
- A hozzászóláshoz be kell jelentkezni
[Feliratkozás]
- A hozzászóláshoz be kell jelentkezni
sub
- A hozzászóláshoz be kell jelentkezni