BLOG / Správa PC a severů / Ubuntu server / Návod na občerstvení wildcard certifikátu Let's encrypt

Občerstvení wildcard (multidoménového) certifikátu Let's encrypt

Intro

Následující článek je návod na občerstvení wildcard certifikátu Let's encrypt. Vyzkoušeno na NGINX, ale pro Apache to bude zřejmě beze změny v postupu..

Prerekvizity

  • Existující web, který již v minulosti fungovat s protokolem https.

Co nefunguje

Asi jste zjistili že certbot renew skončí s chybou. Wildcard certifikáty se takhle jednoduše obnovit nedají.

Občerstvení wildcard certifikátu Let's encrypt

Musíte to udělat manuálně... certbot certonly --manual --manual-public-ip-logging-ok --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory -d "*." -d ...a konec odpovědi... Please deploy a DNS TXT record under the name: _acme-challenge.. with the following value: Before continuing, verify the TXT record has been deployed. Depending on the DNS provider, this may take some time, from a few seconds to multiple minutes. You can check if it has finished deploying with aid of online tools, such as the Google Admin Toolbox: https://toolbox.googleapps.com/apps/dig/#TXT/_acme-challenge.saw.zdenekskulinek.cz. Look for one or more bolded line(s) below the line ';ANSWER'. It should show the value(s) you've just added. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Press Enter to Continue ...vám jasně říká, že se máte přihlásit k vašemu registrátorovi domény a vložit/upravit tam TXT záznam. Když to uděláte, musíte počkat. Nepropíše se to do všech serverů hned. Teorie říká, že to může trvat až 24 hodin, já čekám asi 40 minut. Můžete se podívat jak jde propisování vašeho záznamu, třeba službou DNS Checker. Zadáte tam do hledání _acme-challenge... To acme je důležité, nestačí zadat jen doménu. Je třeba upozornit na to, že to že DNS Checker již novou hodnotu vidí, nemená, že ji vidí také certbot (čte ji z jiného dns serveru). Pro je třeba počkat těch 30-40min, jak jsem psal výše.

Jde to až na podruhé

První pokus se nikdy nopovede. Nevím proč. Vypadá to jako bug v aplikaci certbot, nebo někde jinde. Není to vaše chyba, nenechte se se zmást tím, že vám říká, že jste dali na dns špatný klíč. Zkuste to prostě znova. Na podruhé to vyjde vždycky.

Restart NGINX (Apache)

Když teď stísknete enter, mělo by se občerstvení již povést. Na závěr je třeba restartovat webový server. sudo service nginx restart

Realizuji Vaše sny

Zdeněk Skulínek