Let's Encrypt ワイルドカード certbot-dns-route53 設定手順 CentOS7
2018/03/30
Let's Encryptのワイルドカード利用が開始されました。
https://letsencrypt.jp/blog/2018-03-14.html
ワイルドカード指定+Route53の自動更新手順をまとめてみます。
あくまで当方の環境に合わせたメモレベルです。
環境
- EC2 (CentOS7)
- Nginx (1.12.2)
- pip (python 3.7)
- DNSサーバー (Route53)
1.Linux > certbotインストール
下記のURLからインストール手順を表示する。
https://certbot.eff.org/
以下抜粋。
yum -y install yum-utils yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional sudo yum install certbot-nginx
2.Route53 > DNS-01チャレンジでワイルドカードが取得できるか確認する
certbot certonly --manual -d example.net -d *.example.net --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory -m yourmail@mail.com ~中略~ ------------------------------------------------------------------------------- Please deploy a DNS TXT record under the name _acme-challenge.example.net with the following value: JG1t16hnucN1Vkpozvzz4w3WtbEahguVtmRRiybfuzQ Before continuing, verify the record is deployed. ------------------------------------------------------------------------------- Press Enter to Continue
このメッセージがでたら、Route53で、TXTレコードを作成する。
ただし、すぐにはDNS反映されないので、
nslookupでTXTレコードの内容が上記と同じになっていることを確認する。
※「-d example.net -d *.example.net」の2つドメインを指定しているので、
メッセージは2回表示され、TXTレコードも2回作成します。
> Windowsコマンドプロンプト
nslookup -q=txt _acme-challenge.example.net サーバー: UnKnown Address: xxx.xxx.xxx.xxx 権限のない回答: _acme-challenge.example.net text = "JG1t16hnucN1Vkpozvzz4w3WtbEahguVtmRRiybfuzQ"
3.AWS > IAM Management Console で、実行ユーザーとポリシーを作成
以下画面イメージで手順説明。
>3.1. ユーザーを追加
>3.2. ユーザー名を入力、アクセスの種類の「プログラムによるアクセス」にチェック
>3.3. ユーザーのアクセス権限を設定と確認
>3.4. ユーザー作成完了後、「アクセスキーID」と「シークレットアクセスキー」をメモしておく。
>3.5. Route53で、対象ドメインの「Hosted Zone ID」をメモしておく
>3.6. ポリシーコマンドのサンプルを取得
下記のURLから、サンプルコードを取得し、赤枠のソースを取得し、「3.5.」でメモしたIDに書き換えておく
https://certbot-dns-route53.readthedocs.io/en/latest/index.html#module-certbot_dns_route53
>3.7. IAM Management Consoleへ戻り、ポリシーを作成
※この時「Review policy」を押下すると上記のように検証エラーになります。
「管理ポリシーのインポート」を設定します。
管理ポリシーをインポートしましたが、すべて必要ではないので、下記のように書き換えます。
なお、「Hosted Zone ID」は、マスクしています。
また、ID行があるとエラーになった為、削除しています。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"route53:ListHostedZones",
"route53:GetChange"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"route53:ChangeResourceRecordSets"
],
"Resource": [
"arn:aws:route53:::hostedzone/xxxxxxxxxxxxxx"
]
}
]
}
>3.8. ポリシー名を設定し、作成する
>3.9. ポリシーに「3.4.」で作成ユーザーをアタッチする
4.Linux > certbot-dns-route53 プラグインをインストールする
pip install certbot-dns-route53
5.Linux > certbot に certbot-dns-route53 を使う設定をする
mkdir ~/.aws vi ~/.aws/config --------------------------- [default] aws_access_key_id=#「3.4.」で作成したAMIユーザーのアクセスキーID aws_secret_access_key=#「3.4.」で作成したAMIユーザーのシークレットアクセスキーID --------------------------- #certbotに認証の種類を登録する。(登録だけでキーは使わない) #内容がちょっと違っているかもしれない・・・。 [root@example.net ~]# certbot -i nginx Saving debug log to /var/log/letsencrypt/letsencrypt.log Starting new HTTP connection (1): xxx.xxx.xxx.xxx (<-接続クライアントのグローバルIP) How would you like to authenticate with the ACME CA? ------------------------------------------------------------------------------- 1: Obtain certificates using a DNS TXT record (if you are using AWS Route53 for DNS). (dns-route53) 2: Nginx Web Server plugin - Alpha (nginx) 3: Spin up a temporary webserver (standalone) 4: Place files in webroot directory (webroot) ------------------------------------------------------------------------------- Select the appropriate number [1-4] then [enter] (press 'c' to cancel): 1 Plugins selected: Authenticator dns-route53, Installer nginx Enter email address (used for urgent renewal and security notices) (Enter 'c' to cancel): youraddress@mail.com Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org ------------------------------------------------------------------------------- Please read the Terms of Service at https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must agree in order to register with the ACME server at https://acme-v01.api.letsencrypt.org/directory ------------------------------------------------------------------------------- (A)gree/(C)ancel: a ------------------------------------------------------------------------------- Would you be willing to share your email address with the Electronic Frontier Foundation, a founding partner of the Let's Encrypt project and the non-profit organization that develops Certbot? We'd like to send you email about EFF and our work to encrypt the web, protect its users and defend digital rights. ------------------------------------------------------------------------------- (Y)es/(N)o: y Starting new HTTPS connection (1): supporters.eff.org Which names would you like to activate HTTPS for? ------------------------------------------------------------------------------- 1: example.net 2: ml.example.net ------------------------------------------------------------------------------- Select the appropriate numbers separated by commas and/or spaces, or leave input blank to select all options shown (Enter 'c' to cancel): Obtaining a new certificate Performing the following challenges: dns-01 challenge for example.net dns-01 challenge for ml.example.net Cleaning up challenges Unable to locate credentials To use certbot-dns-route53, configure credentials as described at https://boto3.readthedocs.io/en/la test/guide/configuration.html#best-practices-for-configuring-credentials and add the necessary permi ssions for Route53 access. IMPORTANT NOTES: - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal.
6.Linux > certbot に ワイルドカードドメイン、RSA-4096bitで正式設定
#上記の更新方法を基に、ワイルドカード指定とRSA-4096bitに設定して再度取得する [root@example.net ~]# certbot certonly --dns-route53 --force-renew --rsa-key-size 4096 -d example.net -d *.example.net --server https://acme-v02.api.letsencrypt.org/directory Saving debug log to /var/log/letsencrypt/letsencrypt.log Credentials found in config file: ~/.aws/config Plugins selected: Authenticator dns-route53, Installer None Starting new HTTPS connection (1): acme-v02.api.letsencrypt.org Renewing an existing certificate Performing the following challenges: dns-01 challenge for example.net dns-01 challenge for example.net Starting new HTTPS connection (1): route53.amazonaws.com Waiting 10 seconds for DNS changes to propagate Waiting for verification... Cleaning up challenges Resetting dropped connection: route53.amazonaws.com IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/example.net/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/example.net/privkey.pem Your cert will expire on 2018-xx-xx. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
7.証明書のワイルドカード確認
下記のURLで詳細確認ができます。
ワイルドカードを含んだドメインが表示されていることを確認出来ればOKです。
https://www.ssllabs.com/ssltest/index.html
8.Linux > 自動更新の設定
cronなどで上記の同じコマンド、または、「certbot renew」を登録する。
1か月くらいで自動更新するのがよいと思われます。
更新後に、Webサーバーをrestart か、reloadする必要があります。