Let’s Encrypt начал выдавать wildcard сертификаты

в 13:00, , рубрики: HTTPS, LetsEncrypt, SSL, TLS, wildcard, браузеры, информационная безопасность, Разработка веб-сайтов, системное администрирование

Let’s Encrypt перешагнул важную веху — с 14 марта каждый может получить бесплатный SSL/TLS сертификат вида *.example.com. Пример установленного сертификата:
https://subdomain.baur.im
https://any-text.baur.im

Вчера Let’s Encrypt официально объявил о запуске ACMEv2 (Automated Certificate Management Environment), который наконец позволяет получить wildcard сертификат. Изначально планировалось начать их выдачу в январе, однако запуск перенесли из-за обнаруженных проблем.

Получение wildcard сертификата сейчас возможно только через DNS challenge, где необходимо временно создать TXT запись вида _acme-challenge.example.com с определенным значением.

Официальный клиент Certbot и некоторые другие клиенты для автоматического обновления сертификатов уже поддерживают staging ACMEv2, версии для production на подходе. И чтобы автоматически пройти DNS challenge уже есть несколько специальных Certbot плагинов. Разумеется, скоро их будет еще больше, в том числе и для сторонних клиентов.

В качестве простейшего примера я вручную получил сертификат на домен, которым владею — baur.im, через браузерный клиент https://www.sslforfree.com. Если я хочу использовать один и тот же сертификат как для суб-доменов, так и для самого домена, то это надо указать явно: baur.im *baur.im (картинки кликабельны):

кликабельно

Пройдя дальше, предлагается пройти два DNS challenge.

кликабельно

Добавляем обе запрашиваемые TXT записи на суб-домен _acme-challenge.baur.im
кликабельно

И можно скачивать сертификат, который будет действовать 3 месяца.

кликабельно

Теперь эти TXT записи можно удалить. В этом примере для любого суб-домена nginx возвращает статичный html: https://habrahabr.baur.im/.

Автор: capslocky

Источник

Поделиться

* - обязательные к заполнению поля