Let’s EncryptでワイルドカードSSL化に挑戦(成功編)
これでドメインが使えるので、やり方を紹介します。
作れないと困っている人がいたら以下のURLを確認してみて下さい。
tekitoumemo.hatenablog.com
やり方は前回書いたので、今回実施したことを記載します。
TXTタイプでDNSレコードを登録したら以下のコマンドを実行します。
dig -t txt _acme-challenge.xxxx.com
digコマンドはネームサーバーから情報を引き出すツールです。そうすると以下のような表示がされます。
saito@saito-Aspire-one-1-131:~$ dig -t txt _acme-challenge.xxxx.com ; <<>> DiG 9.10.3-P4-Ubuntu <<>> -t txt _acme-challenge.xxxx.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 11446 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;_acme-challenge.xxxx.com. IN TXT ;; AUTHORITY SECTION: .xxxx.com. 300 IN SOA dns.jp. xxxx.dns.jp. 0000.. ;; Query time: 9 msec ;; SERVER: 192.168.1.1#53(192.168.1.1) ;; WHEN: Wed Apr 11 20:02:07 JST 2018 ;; MSG SIZE rcvd: 113
これはまだ登録されていないので以下の質問に答えちゃだめ(Enter押しちゃだめ)です。
------------------------------------------------------------------------------- Please deploy a DNS TXT record under the name _acme-challenge.xxxxxx.com with the following value: xxxxxxxxxxxxxxxxxxxxxxxxxxxx Before continuing, verify the record is deployed. ------------------------------------------------------------------------------- Press Enter to Continue
しばらく経ってからdigコマンドを打つと以下のように表示されます。
saito@saito-Aspire-one-1-131:~$ dig -t txt _acme-challenge.xxxx.com ; <<>> DiG 9.10.3-P4-Ubuntu <<>> -t txt _acme-challenge.xxxx.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47846 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 5 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1280 ;; QUESTION SECTION: ;_acme-challenge.xxxx.com. IN TXT ;; ANSWER SECTION: _acme-challenge.xxxx.com. 3600 IN TXT "xxxxxxxxxxxxxxxxxxxxxxxxxxxx" ;; AUTHORITY SECTION: 以下略...
以下の表記がされていればDNSレコードが登録されています。
;; ANSWER SECTION: _acme-challenge.xxxx.com. 3600 IN TXT "xxxxxxxxxxxxxxxxxxxxxxxxxxxx"
こちらが確認出来たら「Press Enter to Continue 」の指示通りEnterを押してやります。
Waiting for verification... Cleaning up challenges IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/xxxxxx.com/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/xxxxxx.com/privkey.pem Your cert will expire on 2018-07-10. To obtain a new or tweaked version of this certificate in the future, simply run certbot-auto again. To non-interactively renew *all* of your certificates, run "certbot-auto renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le
Congratulations!
証明書は「/etc/letsencrypt/live/xxxxxx.com/fullchain.pem」に置いてやったぜ!って書いてあるのでそこを参照して下さい。
追記:1日20回失敗するとアクセスできなくなります(笑)以下の記事に書いてありました。
Rate Limits - Let's Encrypt - Free SSL/TLS Certificates