Let’sEncryptから無料のワイルドカードSSL証明書を取得する方法

現在、Webトラフィックの大部分はHTTPSを使用して暗号化されています。特に、業界の主要企業がサポートする認証局（CA）であるLet’s Encryptが導入されて以来、ますます普及してきています。 Let’s Encryptは、SSL/TLS証明書を完全に無料で90日間有効に提供します。

通常、証明書は1つ以上の特定のドメイン名に関連付けられているため、「www.example.com」の証明書がある場合は、この正確なドメイン名でのみ使用できます。一方、ワイルドカード証明書は親ドメイン名に対して発行され、親ドメインの任意のサブドメインで使用できます。たとえば、*。example.comのワイルドカード証明書は、「www.example.com」、「account.example.com」、「mail.example.com」などに使用できます。したがって、ワイルドカード証明書にはメリットがあります。現在および将来のすべてのサブドメインに対して単一の証明書を取得して更新するだけで済みます。

Ubuntu、Debian、およびその他のDebianベースのディストリビューションでLet’sEncryptから登録済みドメイン名のワイルドカード証明書を取得する方法は次のとおりです。

1。 acme.shのインストール

Let’s Encryptは、Automated Certificate Management Environment（ACME）プロトコルを使用して、ドメイン名を所有していることを確認し、証明書を発行/更新します。 Acme.shは、シェルスクリプトで実装された人気のあるACMEクライアントです。インストールするには、最初にgitをインストールする必要があります：

sudo apt update
sudo apt install -y git

githubからリポジトリをダウンロードします：

git clone https://github.com/Neilpang/acme.sh.git

複製されたディレクトリに入り、インストールスクリプトを開始します：

cd acme.sh/
./acme.sh --install

シェルセッションをリロードして、acme.shの使用を開始します：

exec bash

2。 acme.shを使用してワイルドカード証明書を発行します。

Let’s Encryptがワイルドカード証明書を発行するには、ドメイン検証（DV）と呼ばれるDNSベースの課題を解決する必要があります。 Acme.shは、多くの主要なDNSプロバイダーのAPIと便利に統合され、このプロセスを完全に自動化します。

Cloudflare

CloudflareのDNSサービスを使用している場合は、アカウントにログインしてグローバルAPIキーをコピーします。システムに環境変数として保存します：

export CF_Key="your_cloudflare_api_key"
export CF_Email="your_cloudflare_email_address"

ワイルドカード証明書をリクエストできるようになりました：

acme.sh --issue --dns dns_cf -d '*.example.org'

NameCheap

NameCheapネームサーバーを使用している場合は、APIアクセスを有効にする手順に従ってから、必要な変数をエクスポートします。

export NAMECHEAP_SOURCEIP="your_server_ip"
export NAMECHEAP_USERNAME="your_namecheap_username"
export NAMECHEAP_API_KEY="your_namecheap_api_key"

ワイルドカード証明書を要求する：

acme.sh --issue --dns dns_namecheap -d '*.example.org'

DigitalOcean

ドメインでDigitalOceanのDNSを使用している場合は、読み取りおよび書き込み権限を持つ個人用アクセストークンを作成する手順に従ってください。 APIキー/トークンをエクスポートします：

export DO_API_KEY="your_digitalocean_api_token"

ワイルドカード証明書を要求する：

acme.sh --issue --dns dns_dgon -d '*.example.org'

GoDaddy

ドメインでGoDaddyのDNSを使用している場合は、APIキーとシークレットをコピーします。それらを環境にエクスポートします：

export GD_Key="your_godaddy_api_key"
export GD_Secret="your_godaddy_api_secret"

ワイルドカード証明書を要求する：

acme.sh --issue --dns dns_gd -d '*.example.org'

Vultr

VultrのDNSを使用している場合は、個人用アクセストークンまたは「DNSの管理」権限を持つサブプロファイルが必要になります。

export VULTR_API_KEY="your_vultr_api_key"

ワイルドカード証明書を要求する：

acme.sh --issue --dns dns_vultr -d '*.example.org'

RackSpace

RackSpaceを使用している場合は、ユーザー名とAPIキーが必要になります。以下に示すようにエクスポートします：

export RACKSPACE_Username="your_rackspace_username"
export RACKSPACE_Apikey="your_rackspace_api_key"

ワイルドカード証明書を要求する：

acme.sh--issue --dns dns_rackspace -d '*.example.org'

手動プロセス

DNSベンダーが提供するAPIを使用したくない、または使用できない場合は、DNSレコードを手動で作成してドメイン検証の課題を完了することができますが、ドメインを更新するには、この手動プロセスを定期的に繰り返す必要があります。

acme.sh --issue --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please -d '*.example.org'

このコマンドは、DNSTXTレコードとして追加する必要がある検証トークンを表示します。

トークンをコピーして、DNSコントロールパネルにログインします。 _acme-challengeのタイプTXTの新しいDNSレコードを作成します サブドメインを作成してトークンを貼り付けます。

新しいレコードにアクセスできるようになるまで数分待ってから、証明書をリクエストします。

acme.sh --renew --yes-I-know-dns-manual-mode-enough-go-ahead-please -d '*.example.org'

ファイルの場所

証明書とその他の関連ファイルは、ホームフォルダの「.acme.sh」ディレクトリにあります。

• 証明書自体は「〜/ .acme.sh/*。example.org/*.example.org.cer」として保存されます。
• 証明書キーは「〜/ .acme.sh/*。example.org/*.example.org.key」として保存されます。このファイルは非公開にして、決して共有しないでください。
• 使用する可能性が最も高いフルチェーン証明書ファイルは、「〜/ .acme.sh/*。example.org/fullchain.cer」として保存されます。このファイルは、証明書と発行機関の証明書（中間証明書と呼ばれます）を組み合わせたものです。

上記の手順に従うと、Let’sEncryptのワイルドカードドメイン証明書を取得できるようになります。