Cloudflare を使って Let's Encrypt からワイルドカード証明書取得する

dns

letsencrypt

ssl

cloudflare

tutorial

先月からLet's Encrypt がワイルドカード証明書の発行を開始しているので、重い腰を上げて取得＆自動更新を組んでみました。

今回はサーバはCentOS 7 環境、DNS はCloudflare であると仮定します。

† Cloudflare の API キーを取得しておく

Let's Encrypt でワイルドカード証明書を取得する場合には認証方法は DNS-01 を使う必要があり、更新などを自動的に行うためには API 等で動的に変更ができる DNS サーバが必要になります。AWS の Route 53 などでもできると思いますが、今回は Cloudflare を利用しました。

My Profile を開き、Global API Key のところにある View ボタンを押して API キーを取得しておきます。

† 必要なソフトウェアのインストール

epel が有効になっていれば、作業に必要となるcertbotとpython2-certbot-dns-cloudflare は yum でインストールできます。

yum -y install certbot python2-certbot-dns-cloudflare

† 証明書の取得

以下のスクリプトで証明書が取得できるはずです。
証明書は/etc/letsencrypt/live にあるので、必要なものを使ってください。

BASEDIR=/opt/cloudflareDOMAIN=example.comMADDR=user@example.comAPIKEY=0000000000000000000000000000000000000mkdir -p $BASEDIRchmod 700 $BASEDIRcat <<EOS > $BASEDIR/credentials.inidns_cloudflare_email = $MADDRdns_cloudflare_api_key = $APIKEYEOSchmod 600 $BASEDIR/credentials.inicertbot certonly \ -m $MADDR \ --agree-tos \ --non-interactive \ --dns-cloudflare \ --dns-cloudflare-credentials $BASEDIR/credentials.ini \ --dns-cloudflare-propagation-seconds 30 \ --server https://acme-v02.api.letsencrypt.org/directory \ -d $DOMAIN \ -d *.$DOMAIN

証明書がうまく取得できていれば、Cloudflare のAccount Settings にあるAudit Log に以下のような TXT レコードを追加して、それを削除したようなログが残っているはずです。

† 証明書の更新

以下のようなシンプルなコマンドで証明書は更新できます。
これは初回の取得時に config ファイルが生成されているためです。