使用 certbot 讓 wildcard certificate 可自動更新憑證

由於 Let’s Encrypt Wildcard Certificate 使用 DNS 認證
所以無法用傳統的方式自動更新 ./certbot renew
如果你剛好使用 Cloudflare 的話就有福了!

Cloudflare 支援 API key 認證
可以透過一些第三方的模組來自動認證
這樣就不用每三個月都要手動認證了

以下教學參考此篇文章

前情提要

下方使用 CentOS7 當作示範環境
如果你還沒裝 certbot,請先執行 $ yum install certbot

1. 首先要先登入 Cloudflare,右上角 My Profile 那就可找到 Global API Key

請點選 View 輸入密碼就會出現,這把 Key 很重要請小心保管

IMAGE

2. 由於這把 Key 很重要,所以要放在一個安全的地方

原作者把它放在 /root/.secrets 裡面(你要改地方也行,最後的參數路徑記得改就好)
但系統預設沒有 /root/.secrets 這個目錄
所以要先建立這個目錄 $ mkdir /root/.secrets
然後把下面這兩行填好後放到 /root/.secrets/cloudflare.ini 裡面

dns_cloudflare_email = "請填你的cloudflare帳號,也就是email"
dns_cloudflare_api_key = "請輸入上述的 Global API Key"

3. 修改 /root/.secrets/cloudflare.ini 權限

$ sudo chmod 0700 /root/.secrets/
$ sudo chmod 0400 /root/.secrets/cloudflare.ini

4. 安裝 Certbot 及 CloudFlare DNS 認證套件

$ sudo yum install python-pip
$ sudo pip install certbot-dns-cloudflare

5. 申請 Wildcard SSL 憑證

example.com 請帶入自己的 domain

$ sudo /usr/local/bin/certbot certonly --dns-cloudflare --dns-cloudflare-credentials /root/.secrets/cloudflare.ini -d example.com,*.example.com --preferred-challenges dns-01

6. 於 crontab 設定自動 renew

編輯 crontab $ crontab -e

以下是 nginx

14 5 * * * /usr/local/bin/certbot renew --quiet --post-hook "/usr/sbin/service nginx reload" > /dev/null 2>&1

以下是 apache

14 5 * * * /usr/local/bin/certbot renew --quiet --post-hook "systemctl reload httpd" > /dev/null 2>&1

我的環境:

  • CentOS 7.5
  • Certbot 0.27.1

參考文章:
Wildcard certificate from Let’s Encrypt with CloudFlare DNS

Comments

Post a Comment

Popular posts from this blog

CentOS7 如何新增/移除 Rich Rule for firewalld

如果要針對某個 ip 開放某個 port 需要用到 rich rule 來設定 針對 public zone 列出永久的 rule # firewall-cmd --zone=public --list-all --permanent 針對特定的 ip 開放特定的 port 這邊是針對 sql server 開放 # firewall-cmd --add-rich-rule="rule family="ipv4" source address="1.1.1.1" port port="1433" protocol="tcp" accept" --permanent 如果要移除 rich rule # firewall-cmd --permanent --remove-rich-rule 'rule family="ipv4" source address="1.1.1.1" port protocol="tcp" port="1433" accept' PS. webmin 看不到 rich rule, 所以需要用 cmd 才能設定
Read more

mac 安裝 mtr

Image
macOS 上要安裝 mtr 看似簡單 $ brew install mtr 如果沒安裝過 HomeBrew 請參考這邊 mtr 可拿來檢查點對點中間的網路狀態 它結合 ping 及 traceroute 的功能 已內建於大多數的 Linux 中 詳細的說明可參考這邊 但這邊有個坑 由於安裝好的 mtr 不在 /usr/local/sbin 中 macOS 中也不存在這這個目錄(macOS 10.14.3) 所以會出現以下的錯誤 Error: The brew link step did not complete successfully The formula built, but is not symlinked into /usr/local Could not symlink sbin/mtr /usr/local/sbin is not writable. You can try again using: brew link mtr ==> Caveats mtr requires root privileges so you will need to run sudo mtr . You should be certain that you trust any software you grant root privileges. 執行 brew link mtr 會出現 Linking /usr/local/Cellar/mtr/0.92… Error: Could not symlink sbin/mtr /usr/local/sbin is not writable. 如何設定 1. 建立目錄及設定權限 sudo mkdir /usr/local/sbin && sudo chmod ug+rwx /usr/local/sbin && sudo chown $(id -un):admin /usr/local/sbin 2. 設定 PATH 如果有裝 zsh 的話 請編輯 vi .zshrc 如果沒有使用 zsh 請編輯 vi .bash_profile 將下面的部分貼到最下方 export PA
Read more

如何設定 SSL VPN 分割通道 on Fortigate 80C

Image
以前用 VPN 沒什麼好感 因為每次切到 VPN 通道網路就會被整個帶過去 下載的檔案、MSN、連正在聽得廣播都會斷 而且速度又慢,真不知道那些大公司用 VPN 怎麼都很像很開心 ._. 直到公司買了一台 Fortigate 80C 才慢慢瞭解 SSL VPN 除了連線方便快速以外 還有很多好用的地方! 這 VPN 的連線速度實在不是一般家用的 router 可以比擬的 另外 Fortigate 的界面比 Juniper 好上太多了 回到正題 首先要先瞭解,為什麼要設定分割通道(split tunneling) 如果不設定的話,那你連上 VPN 後所以的網路傳輸都會透過 VPN 那端的網路進行 如果你今天在家裡 on call 要連到公司處理事情 但連上後,做完事情忘記切斷 VPN 如果上網逛網拍,打線上遊戲,再來看一下 PPS 網路電視 除了"佔據"公司網路頻寬以外,你的網路行為可能都被 Log 下來了 如果有設定分割通道 那麼除了處理公司的事情,其他的網路行為都不會從公司繞出去 這樣就會"自然"很多 FortiOS版本: v4.0,build0313,110301 (MR2 Patch 4) 網路環境說明: DMZ : 10.10.2.0/24 Step 1. 到 Firewall -> Address -> Address -> Create New 建立該 Interface 要被隔開的 IP 或網段 Step 2. 到 Firewall -> Policy -> Policy -> Create New 建立 Policy Step 3. 到 VPN -> SSL -> Portal 選擇之前新增的 Portal 編輯 這邊我找超久的 orz... 點選 TUNEL Mode 右邊圈圈處編輯,IP Pools 選擇之前設定 SSL VPN 使用者的群組 然後把下面的 Split Tunnelin
Read more