AdministrationBest PracticesDokumentationEntwicklungInfrastrukturSicherheitToolsWeb

Erstellen von let’s encrypt wildcard Zertifikaten

In diesem Blog Post schrieb ich bereits etwas über die Verwendung von let’s encrypt Zertifikaten für lokale IP Adressen.

Seit kurzem unterstützt let’s encrypt nun auf das Ausstellen von wildcard SSL Zertifikaten (*.example.com).

Da ich auf meiner lokalen Gitlab Umgebung das Zertifikat eh erneuern muss und ich in Zukunft wildcard Zertifikate durchaus benötigen werden (Kubernetes/Openshift), bietet es sich an, sich mit dem Request von wildcard Zertifikaten zu befassen.

Ein kleiner Spoiler: Aktuell wird der http-01 ACME challenge challenge mode in Zusammenspiel mit wildcard Zertifikaten noch nicht unterstützt. Es muss hier zwangsweise die dns-01 ACME challenge verwendet werden. Hierzu muss auf dem, der Domain zugeordneten, DNS Server ein bestimmter Text Eintrag erstellt werden (siehe oben verlinkten Post). Da dies für interne IP Adressen aber sowieso notwendig ist, macht das im aktuellen Use-Case keine Probleme.

ist Zustand

Bisher wurde das Zertifikat für den Knoten für drei domains requested:

certbot –expand –agree-tos –email philipp@haussleiter.de -d gitlab.smartos.p22.de -d mattermost.smartos.p22.de -d plantuml.smartos.p22.de –manual –preferred-challenges dns certonly

Neben Gitlab läuft hier eine Mattermost Instanz, als auch ein Plantuml Server. Die chellenge ist – wie bereits oben erwähnt – dns-01 ACME challenge.

Das Resultat ist dann folgendes Zertifikat:

openssl x509 -inform pem -in cert.pem -noout -text

soll Zustand

Ändern wir nun die Abfrage auf:

certbot –expand –agree-tos –email philipp@haussleiter.de -d *.smartos.p22.de –manual –preferred-challenges dns certonly

erhalten wird den Fehler The currently selected ACME CA endpoint does not support issuing wildcard certificates. Aktuell ist der neue ACME CA Endpoint noch nicht als default im certbot client eingestellt. Wir können den Endpoint aber direkt übergeben:

certbot –server https://acme-v02.api.letsencrypt.org/directory –expand –agree-tos –email philipp@haussleiter.de -d *.smartos.p22.de –manual –preferred-challenges dns certonly

Dies führt zum bekannten Ablauf der dns-01 ACME challenge:

Wichtig ist, dass das neue Zertifikat nun unter einem andere Pfad liegt: /etc/letsencrypt/live/gitlab.smartos.p22.de

Ein kurzer Check zeigt, dass wir nun ein wildcard Zertifikat verwenden:

openssl x509 -inform pem -in cert.pem -noout -text

Tags

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button
Close