YO$HI鯖で証明書は王道のLet's Encryptを使っている。
ちょっと前にメールが飛んできて焦った。
(英語だったのでもうちょっとでゴミ箱に入れるところだった)
えー、何々?
Hi,
According to our records, the software client you're using to get Let's
Encrypt TLS/SSL certificates issued or renewed at least one HTTPS certificate
in the past two weeks using the ACMEv1 protocol. Your client's IP address was:***.***.***.***
Beginning June 1, 2020, we will stop allowing new domains to validate using
the ACMEv1 protocol. You should upgrade to an ACMEv2 compatible client before
then, or certificate issuance will fail. For most people, simply upgrading to
the latest version of your existing client will suffice. You can view the
client list at: https://letsencrypt.org/docs/client-options/If you're unsure how your certificate is managed, get in touch with the
person who installed the certificate for you. If you don't know who to
contact, please view the help section in our community forum at
https://community.letsencrypt.org/c/help and use the search bar to check if
there's an existing solution for your question. If there isn't, please create
a new topic and fill out the help template.ACMEv1 API deprecation details can be found in our community forum:
https://community.letsencrypt.org/t/end-of-life-plan-for-acmev1As a reminder: In the future, Let's Encrypt will be performing multiple
domain validation requests for each domain name when you issue a certificate.
While you're working on migrating to ACMEv2, please check that your system
configuration will not block validation requests made by new Let's Encrypt IP
addresses, or block multiple matching requests. Per our FAQ
(https://letsencrypt.org/docs/faq/), we don't publish a list of IP addresses
we use to validate, and this list may change at any time.To receive more frequent updates, subscribe to our API Announcements:
https://community.letsencrypt.org/t/about-the-api-announcements-categoryThank you for joining us on our mission to create a more secure and privacy-
respecting Web!All the best,
Let's Encrypt
・・・・・。
簡単に言うと「2020年6月1日からACMEv1を使わんからACMEv2を使用して」ってことか。
メリットはサブドメインの指定としてアスタリスクが使えるようになったこと。
今までは https://hoge.domain.com というドメインがあった場合、
https://hoge2.domain.com もセキュアにしたかったらhoge2用にも取得しなくてはいけなかった。
それが、*.domain.com と指定すればサブドメインはもれなく使えるようになる。
今までは面倒で1つのサブドメインにしか使っていなかったので助かる。
やり方はググれば出てくる。
作業の順番は
- certbotのインストール(or アップデート)
- コマンドで値設定
- DNSにレコード追加
- httpsで接続できるように設定変更
こんな感じかな。
3が難関というか面倒。
certbotのインストール(or アップデート)
元々Let's Encryptを使っていたのでcertbotは入っている。
バージョンの確認はcertbot --version
。
バージョンも問題ないけど、せっかくだから新しくする。
yum update certbot
としたら、python3-josepyの古いバージョンと競合したので、そちらを先に削除。
アップデートのつもりが間違えてyum install certbot
と打ってしまったけど
そのあたりはよろしくやってくれたようで無事インストール完了。
バージョンは1.0.0になった。
値設定
各所に情報が転がっているので、斜め読みして理解。
certbot certonly --manual \
--preferred-challenges dns-01 \
--server https://acme-v02.api.letsencrypt.org/directory \
-m ※メールアドレス※ \
-d *.※ドメイン※
※折り返しちゃってるけど\
なしで一行にしてもOK。
で、これを入力するとTXTレコードが出てくるので、コイツをDNSに入力する。
※Enterを押して先に進めないように注意
DNSにレコード追加
紛らわしくて迷ったんだけど、ここでのDNSサーバはDDNSになる。
TXTレコードとして _acme-challenge.※ドメイン※
に前述のTXTレコードを設定する。
しばらく待ったところで、ターミナルでEnterを押す・・・と
エラー(無慈悲
うー・・・合っているハズなのに・・・わからん('A`)