Início / server / Perguntas / 1005233
Accepted
uncovery
Asked: 2020-03-02 19:52:09 +0800 CST

Como instalar certificados curinga letsencrypt?

  • 772

Estou usando certbot/letsencrypt do repositório EPEL com apache no CentOS 7 sem problemas em nomes de domínio "normais". A ferramenta certbot reconhece bem os aliases de nome de servidor dos arquivos de configuração do virtualhost. A renovação também funciona bem.

Por exemplo, uma linha em uma configuração de host virtual, como:

ServerName uncovery.net
ServerAlias www.uncovery.net

resulta em certbot me oferecendo para instalar/manter os nomes de domínio

1: uncovery.net
2: www.uncovery.net

No entanto, esta linha na minha configuração do virtualhost:

ServerName uncovery.net
ServerAlias *.uncovery.net

só mostra

1: uncovery.net

ao executar o certbot.

Então eu tentei o seguinte:

# certbot -d *.uncovery.net
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org
Obtaining a new certificate
Performing the following challenges:
Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA. You may need to use an authenticator plugin that can do challenges over DNS.

Eu tentei autenticadores apache/webroot/standalone, todos falham. O log de depuração informa que

ConfigurationError: *.uncovery.net contains an invalid character. Valid characters are A-Z, a-z, 0-9, ., and -.

Então perguntas:

1) Como posso fazer a interface de linha de comando do certbot reconhecer o *.wildcard?

2) Se isso não funcionar, como configuro manualmente o certificado?

Aqui está minha versão do certbot:

Package certbot-1.0.0-1.el7.noarch already installed and latest version
Package python2-certbot-apache-1.0.0-1.el7.noarch already installed and latest version
ssl-certificate apache-2.4 lets-encrypt

1 respostas

  1. Best Answer

    Isso deve funcionar

    certbot-auto certonly --server https://acme-v02.api.letsencrypt.org/directory --manual --preferred-challenges dns -d 'uncovery.net,*.uncovery.net'

    Depois, não se esqueça de apontar fullchain.peme privkey.pemnas configurações ssl de configuração do apache. geralmente, aqueles localizados em/etc/letsencrypt/live/uncovery.net/fullchain.pem /etc/letsencrypt/live/uncovery.net/privkey.pem

    se você não alterá-los, ainda verá o certificado autoassinado, que é o certificado ssl autoassinado padrão do apache.

    • 3

relate perguntas