Cloudflare を使って Let's Encrypt からワイルドカード証明書取得する

dns

letsencrypt

ssl

cloudflare

tutorial

先月からLet's Encrypt がワイルドカード証明書の発行を開始しているので、重い腰を上げて取得＆自動更新を組んでみました。

今回はサーバは CentOS 7 環境、DNS は Cloudflare であると仮定します。

† Cloudflare の API キーを取得しておく

Let's Encrypt でワイルドカード証明書を取得する場合には認証方法は DNS-01 を使う必要があり、更新などを自動的に行うためには API 等で動的に変更ができる DNS サーバが必要になります。AWS の Route 53 などでもできると思いますが、今回は Cloudflare を利用しました。

My Profile を開き、Global API Key のところにある View ボタンを押して API キーを取得しておきます。

† 必要なソフトウェアのインストール

epel が有効になっていれば、作業に必要となる certbotと python2-certbot-dns-cloudflare は yum でインストールできます。

yum -y install certbot python2-certbot-dns-cloudflare

† 証明書の取得

以下のスクリプトで証明書が取得できるはずです。
証明書は /etc/letsencrypt/live にあるので、必要なものを使ってください。

BASEDIR=/opt/cloudflare
DOMAIN=example.com
MADDR=user@example.com
APIKEY=0000000000000000000000000000000000000

mkdir -p $BASEDIR
chmod 700 $BASEDIR

cat <<EOS > $BASEDIR/credentials.ini
dns_cloudflare_email = $MADDR
dns_cloudflare_api_key = $APIKEY
EOS
chmod 600 $BASEDIR/credentials.ini

certbot certonly \
  -m $MADDR \
  --agree-tos \
  --non-interactive \
  --dns-cloudflare \
  --dns-cloudflare-credentials $BASEDIR/credentials.ini \
  --dns-cloudflare-propagation-seconds 30 \
  --server https://acme-v02.api.letsencrypt.org/directory \
  -d $DOMAIN \
  -d *.$DOMAIN

証明書がうまく取得できていれば、Cloudflare の Account Settings にあるAudit Log に以下のような TXT レコードを追加して、それを削除したようなログが残っているはずです。

† 証明書の更新

以下のようなシンプルなコマンドで証明書は更新できます。
これは初回の取得時に config ファイルが生成されているためです。