意識他界大熊猫の世界

意識他界大熊猫による意識他界ブログ

certbotを使って Let's Encrypt ワイルドカード証明書をスマートに(?)発行する(Cloudflare版改訂)

www.ageage.blog

↑の Cloudflare 版です。DNS認証に利用するcertbotプラグインが違うだけでほぼ同じですが・・・

以下 *.example.jp の証明書を取得する場合について書いていく (example.jp の Name Server は Cloudflare 利用)

① root ユーザで pyenv 導入

# curl -L https://raw.githubusercontent.com/pyenv/pyenv-installer/master/bin/pyenv-installer | bash
# vi /root/.bashrc
  → ファイルの最後に下記3行追加
export PATH="/root/.pyenv/bin:$PATH"
eval "$(pyenv init -)"
eval "$(pyenv virtualenv-init -)"

② 一度 root でログインし直してから pyenv を利用して python 3.8.3 (2020/07/02現在の 3.8系最新版)をインストール

# pyenv install 3.8.3

インストールに失敗する場合はググりましょう() まあ大抵 libffi がインストールされていないのが原因だったりするんですが・・・

③ pyenv 環境下で利用するデフォルトバージョンを 3.8.3 にする

# pyenv global 3.8.3

④ pip を最新化(しなくてもいいかも)した後、certbot 本体及び Cloudflare 向け DNS 認証プラグインをインストール

# pip install pip -U
# pip install certbot certbot-dns-cloudflare

⑤ Cloudflare の Web コンソール画面からドメイン example.jp の Global API Key を取得する

 ・ドメイン example.jp の概要ページ右下にある「API」ブロックから「APIトークンを取得」をクリック

f:id:kemonox:20200703095429p:plain

 ・「APIトークン」ブロックにある「トークンの作成」をクリック

f:id:kemonox:20200703105253p:plain

 ・「カスタムトークン」ブロックにある「カスタムトークンを作成する」の「始める」をクリック

f:id:kemonox:20200703105437p:plain

 ・「トークン名」(=任意の文字列)「アクセス許可」(=下記画像の通り「ゾーン/ゾーン/読み取り」と「ゾーン/DNS/編集」を付与)を設定し、末尾の「概要に進む」をクリック

f:id:kemonox:20200703105647p:plain

 ・内容を確認して問題なければ「トークンを作成する」をクリック

f:id:kemonox:20200703105846p:plain

 ・トークンが表示されるのでテキストエディタなどにコピーしておく(これ以降再表示させる手段がないので注意)

f:id:kemonox:20200703110152p:plain

⑥ Cloudflare 認証情報ファイルを作成する

# mkdir /root/.cloudflare
# vi /root/.cloudflare/config
→ 下記1行を追加し、保存する
dns_cloudflare_api_token = <⑤で取得したトークン>
# chmod 700 /root/.cloudflare
# chmod 600 /root/.cloudflare/config

⑦ certbot コマンドを実行して証明書発行処理を行う

# certbot certonly --dns-cloudflare --dns-cloudflare-credentials /root/.cloudflare/config -d *.example.jp
※ もしDNS反映が間に合わなくて認証が通らない場合はオプション --dns-cloudflare-propagation-seconds を追加して調整する(デフォルトは10秒)

だいたい同じでした()

certbotを使って Let's Encrypt ワイルドカード証明書をスマートに(?)発行する(Route 53版)

Let's Encryptワイルドカード証明書を取得する(certbotをちょっとアタマ使ってスマートに使おう(?)編)

Let's Encrypt の証明書管理ツール certbotpython で書かれているので、特に同じ python スクリプトである AWS CLI と相性があまりよくない(それぞれのバージョンによってはモジュールのバージョン依存に不整合が発生する・・・)。しかしシステム標準の pythonだとあんまゴニョゴニョしすぎるといろんな所に影響でちゃう・・・だったら pyenv を利用してその辺すっきりとスマートに使おう!というヤツ

以下 *.example.jp の証明書を取得する場合について書いていく (example.jp の Name Server は AWS Route53 利用)

① root ユーザで pyenv 導入

# curl -L https://raw.githubusercontent.com/pyenv/pyenv-installer/master/bin/pyenv-installer | bash
# vi /root/.bashrc
  → ファイルの最後に下記3行追加
export PATH="/root/.pyenv/bin:$PATH"
eval "$(pyenv init -)"
eval "$(pyenv virtualenv-init -)"

② 一度 root でログインし直してから pyenv を利用して python 3.8.3 (2020/07/02現在の 3.8系最新版)をインストール

# pyenv install 3.8.3

インストールに失敗する場合はググりましょう() まあ大抵 libffi がインストールされていないのが原因だったりするんですが・・・

③ pyenv 環境下で利用するデフォルトバージョンを 3.8.3 にする

# pyenv global 3.8.3

④ pip を最新化(しなくてもいいかも)した後、certbot 本体及び Route53 向け DNS 認証プラグインをインストール

# pip install pip -U
# pip install certbot certbot-dns-route53

AWS にて ドメイン example.jp について下記の通り確認/設定し、Access Key/Secret Access Key を取得する

 ・Web GUI等から Route 53 の example.jp ホストゾーンについて Hosted Zone ID を確認する

 ・下記JSONドキュメントで示される権限を与えたユーザを作成し、Access Key/Secret Access Key を発行する

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "route53:GetChange",
                "route53:ListHostedZones"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": "route53:ChangeResourceRecordSets",
            "Resource": "arn:aws:route53:::hostedzone/<Hosted Zone ID>"
        }
    ]
}

 ・Access Key/Secret Access Key を下記のいずれかに設定する(複数設定した場合は上から順に参照される)

   環境変数 AWS_ACCESS_KEY_ID 及び AWS_SECRET_ACCESS_KEY_ID

   ファイル /root/.aws/config (credentials)

   環境変数 AWS_CONFIG_FILE に設定されているファイル

   ※ AWS CLI を使っていないのなら /root/.aws/config に書いちゃった方が楽(たぶん)

   ※ ファイルに書く場合は下記のフォーマットにすること

[default]
aws_access_key_id = <Access Key>
aws_secret_access_key = <Secret Access Key>

⑥ certbot コマンドを実行して証明書発行処理を行う

# certbot certonly --dns-route53 -d *.example.jp

※以前の古い certbot では --server オプションを追加して API エンドポイントの指定をする必要がありました(ワイルドカード証明書の発行が ACME v2 での対応だったため)が、現在の最新版では不要です

環境変数を設定して実行したい場合は env を併用するとよいでしょう・・・

まあこんな感じで