SSL сертификат Lets Encrypt

Статус
В этой теме нельзя размещать новые ответы.
А если поддоменов неограниченное количество? :) А если надо добавить поддомен? Перевыпускать сертификат? :)
LetsEncrypt начал выпускать Wildcard сертификаты буквально на прошлой неделе. В январе был какой-то превью доступ, но все равно это не было стабильным и официальным продакшен решением.
Список сабдоменов - это не wildcard сертификат. Это сертификат со списком alias доменов, не более. :) Речь о wildcard - *.domain.com . Именно так, со звездочкой.
Без запуска скрипта - вручную. Либо, например acme.sh - поддерживает много днс провайдеров - тогда автоматом. Certbot вроде тоже что-то уже умеет с ДНС. Речь опять же о wildcard сертификатах. Обычные у меня продляются старым способом.
 
аа.... ну да.... это квази-вайлдкард))) а про звездочку спасибо обязательно посмотрю.

Не совсем понял днс-запись формирует скрип из под linux? Если можно просто ручками, то было бы шикарно (а то у меня у знакомого на nic.ru замучаешься перевыпускать)
 
Можно просто ручками. :) Раз в три месяца. Генерировать запись, получать новый сертификат, и заливать на хостинг. :)
Чтобы скриптом - важен не регистратор домена (ник.ру например), а то место, которое управляет ДНС записями. Если домен от ник.ру завернуть на yandex pdd например - то сертификат уже можно обновлять через Для просмотра ссылки Войди или Зарегистрируйся
 
новость про wildcard очень вовремя - как раз скоро обновлять сертификаты.

А ну да... совсем забыл, что когда хостятся у руцентра (управление у них же), то и DNS-запись вроде не дописать (там остается всего одна галочка "хостинг")... если только на время перевыпуска переписывать вручную на IP.... хотя нее лучше все же скрипт на сервере помучать.
Через acme-client получится wildcard выпустить?
 
Последнее редактирование:
Certbot вроде тоже что-то уже умеет с ДНС. Речь опять же о wildcard сертификатах. Обычные у меня продляются старым способом.
Через certbot получение пока-что, да, ручками, а вот --renew автоматом и для wildcard сертификатов идёт.
Получил и забыл. )
 
О, а вот это очень круто! Я certbot не изучал для wildcard еще, руки не дошли. :) И почему-то думал, что txt запись - после получения сертификата удаляется, а для получения нового - надо создавать новую. Выходит, если certbot умеет продлять - новую txt запись создавать не надо? Как-то странно.

Может тогда уж проще купить за 300 руб. В ГОД, чем такие непонятные танцы с бубном, каждые 2 месяца, да ещё и непонятно, что получится и можно забыть сделать перевыпуск :eek:
Никто не танцует с бубном. Все это делается один раз, а далее - продляется в полностью автоматическом режиме. К тому же, Wildcard сертификат - стоит далеко не 300руб в год. И через год - его все равно надо будет продлять, причем руками. Тут же - единожды настроив - можно забыть о нем куда больше чем на год. :)
 
О, а вот это очень круто! Я certbot не изучал для wildcard еще, руки не дошли. :)
я сделал так
Код:
certbot certonly --manual -d *.твой домен --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory
в процессе появляется какое текстовое поле прописать в домен. Добавляешь, жмёшь проверить и получаешь сертификат. Версия должна быть последняя.
И почему-то думал, что txt запись - после получения сертификата удаляется, а для получения нового - надо создавать новую. Выходит, если certbot умеет продлять - новую txt запись создавать не надо? Как-то странно.
Да, почитал форумы, пишут: "... According to Seth from letsencrypt, the TXT string will need to be changed each time certbot needs to renew, which is why having a plugin for your domain host provider is a good thing to have, so that the TXT field update can be automated as well."
Видимо, то что сейчас certbot renew пытается в автоматическом режиме обновить в том числе и wildcard`сертификаты и пишет, что они ещё не устарели для обновления, не значит, что он не попросит потом перезаписать поле txt заново :)
 
:D Конечно! :)) Он не пытается их обновлять, он просто пишет, что они еще не устарели, и все. :) И при обновлении - выдаст такой же запрос, на ручное прописывание записи. А вот acme.sh - уже имеет кучу плагинов для DNS провайдеров. И говорят, можно и самому написать плагин под своего провайдера. Но, мне как-то проще перенести домены на yandex pdd, а для него уже есть готовый плагин у acme.sh. :)
 
Имхо, сейчас тенденция такая, что все потихоньку переходят на https. Тоже себе поставил везде сертификат let's encrypt, не жалею.
 
кириллические домены поддерживает?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху