Creare un certificato wildcard Let’s Encrypt
Questo articolo spiega come creare un certificato wildcard gratuito di Let’s Encrypt.
Ti consiglio di utilizzare un certificato con validità superiore a 3 mesi, come ad esempio i certificati Let’s Encrypt. A Central, l’importazione non può ancora essere automatizzata. Tuttavia, spesso si desidera provare prima la soluzione ZTNA nella fase di test di 30 giorni. Let’s Encrypt è una buona opzione se non hai già un certificato wildcard.
Installare lo strumento Let’s Encrypt Certbot
Prima di poter creare certificati wildcard gratuiti, devi installare certbot. In questo caso sto utilizzando un server Ubuntu. Per installarlo, esegui i seguenti comandi:
sudo apt update
sudo apt-get install letsencrypt
Generare il certificato SSL Wildcard di Let’s Encrypt
Dopo aver installato Certbot, puoi iniziare a creare i certificati.
Per i certificati wildcard, Let’s Encrypt richiede una verifica tramite DNS. Questo garantisce che tu sia effettivamente autorizzato a creare un certificato per questo dominio.
Per creare un certificato wildcard per il dominio *.avanet.com, eseguiamo i seguenti comandi:
sudo certbot certonly --manual --preferred-challenges=dns --email webmaster@avanet.com --server https://acme-v02.api.letsencrypt.org/directory --agree-tos -d avanet.com -d *.avanet.com
certonly | Richiedi o rinnova un certificato senza installarlo |
–manual | Acquisto di certificati |
–preferred-challenges=dns | Usa il DNS per l’autenticazione come proprietario del dominio |
–server | Server da utilizzare per la generazione dei certificati |
–agree-tos | Accettazione dei termini e delle condizioni del server ACME |
-d | Dominio per il quale deve essere creato un certificato |
Dopo aver completato il comando di cui sopra, è ancora necessario verificare la proprietà del dominio. A tal fine, è necessario creare una voce TXT sui server DNS.
Dopo la verifica, i certificati vengono generati e possono essere scaricati dal seguente percorso:
/etc/letsencrypt/live/avanet.com/
In seguito avremo bisogno dei file cert.pem e privkey.pem. Quest’ultimo deve essere rinominato da privkey.pem a privkey.key.