Let’s Encrypt hatte ich ja schonmal hier im Blog und benutzte es immer noch für diverse Subdomains wie den Blog oder Cloud oder E-Mails und eben auch die Veröfflichung des Heimischen Smart Home Steuerung ins Internet.
Es war immer nervig, alle 90 Tage das Zertifikat auszutauschen, weil das auf eine andere Quelle abzielt als die restlichen Subdomains.
Fritz!Box -> Portfreigabe 80 auf Pi -> Zertifkat starten -> Portfreigabe entfernen usw …
Wie ich heute mitbekommen habe, hat Let’s Encrypt nun das Feature veröffentlich Wildcards zu erstellen, im Internet konnte ich dazu kein Tutorial bzw. Befehl finden, deshalb hier mal für Leute, die auch danach suchen gehen:
./letsencrypt-auto certonly –rsa-key-size 4096 –agree-tos -d *.domain.tld –server https://acme-v02.api.letsencrypt.org/directory –authenticator manual
Authentifizieren muss man sich dann über ein TXT Record im DNS
Ablauf ist wie folgt:
Saving debug log to /var/log/letsencrypt/letsencrypt.log Plugins selected: Authenticator manual, Installer None Obtaining a new certificate Performing the following challenges: dns-01 challenge for unixa.de ------------------------------------------------------ NOTE: The IP of this machine will be publicly logged as having requested this certificate. If you're running certbot in manual mode on a machine that is not your server, please ensure you're okay with that. Are you OK with your IP being logged? ------------------------------------------------------ (Y)es/(N)o: yes ------------------------------------------------------ Please deploy a DNS TXT record under the name _acme-challenge.unixa.de with the following value: ZENSIERT - Hier könnte ihr Code stehen Before continuing, verify the record is deployed. ------------------------------------------------------ Press Enter to Continue Waiting for verification... Cleaning up challenges IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/unixa.de/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/unixa.de/privkey.pem Your cert will expire on 2018-06-12. To obtain a new or tweake. version of this certificate in the future, simply run letsencrypt-auto again. To non-interactively renew *all* of your certificates, run "letsencrypt-auto renew"
Das wars – Zertifikat noch in Configdateien abändern (einmalig, den rest machen Links) und schon hat man ein Zertifikat für alle Domains.
Für den externen Pi einfach das generierte Zertifikat drauf laden und schon läuft das auch mit nur einem Zertifikat.
Ich habe lange auf das Feature gewartet, danke Let’s Encrypt!