[TUTO] Let's Encrypt : certificat SSL wildcard

spider1163 · 20 avr. 2018

Discussion ici : https://mondedie.fr/d/10206-discussion-lets-encrypt-certificat-ssl-wildcard

Avant-propos :
- Les certificats wildcards sont fortement déconseillés sur un serveur de prod pour des questions de sécurité/gestion/compatibilité
- Il est pourtant facile d'ajouter des sous-domaines en ligne de commande, exemple :
./certbot-auto certonly -d example1.com -d example2.com -d example3.com ...
- Le certificat wildcard requière une validation via DNS (créer un enregistrement TXT) pour l'enregistrement ET le renouvellement, ce qui le rend plus lourd à mettre en place
- A moins d'utiliser un client permettant l'ajout via les API DNS, exemple : acme.sh

Pensez avant toute chose à lire le TUTO normal : https://mondedie.fr/d/7414-Tuto-Certificat-SSL-signe-gratuit-avec-Let-s-Encrypt-et-nginx

Pour entrer enfin dans le sujet, la commande pour commander un certificat wildcard est la suivante :
./certbot-auto certonly --manual -d *.example.com -d example.com --agree-tos --manual-public-ip-logging-ok --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory

Une fois cette commande validée (puis les instructions d'usage suivies), il vous sera demander d'ajouter un enregistrement DNS de type TXT au sous-domaine _acme-challenge.example.com (de préférence avec le TTL le plus bas possible, 1 sinon 300 en général).

Si votre TTL est de 1, il faudra attendre (au moins) 1 seconde que la propagation DNS se fasse, et donc avant de pouvoir valider la procédure dans la console. Si votre TTL est de 300, il faudra attendre 5 min etc.

Une fois la validation réussie, il est possible/recommandé de supprimer l'enregistrement DNS de type TXT.

Note : Si vous avez demandé les sous-domaine wildcards ET le domaine (comme dans ma commande), il vous sera demandé un 2nd enregistrement DNS de type TXT à appliquer AUSSI au sous-domaine _acme-challenge.example.com (ne pas ajouter d'étoile).
Si votre prestataire ne vous permet pas de créer 2 enregistrement DNS de type TXT, essayer de séparer les 2 valeurs fournies (par cerbot) par un espace sur un même enregistrement.