Rinnovare un certificato wildcard tramite la sfida DNS

Questa guida spiega come rinnovare un certificato wildcard utilizzando la sfida DNS con Certbot.

Crea un token API di Infomaniak

Accedi al Manager di Infomaniak e crea un token API con lo scope "domain". Annota questo token per un utilizzo futuro.

Genera il certificato wildcard

Esegui il comando Certbot con i seguenti parametri:

certbot certonly --manual -d *.domain.tld --preferred-challenges dns-01 --server https://acme-v02.api.letsencrypt.org/directory

Crea il record TXT

Crea il record TXT per _acme_challenge.domain.tld manualmente dall'interfaccia di Infomaniak.

Configura il rinnovo automatico

Crea il file di configurazione di rinnovo

Crea o modifica il file /etc/letsencrypt/renewal/domain.tld.conf con le seguenti informazioni:

[...]
[renewalparams]
account = xxxxx
pref_challs = dns-01,
server = https://acme-v02.api.letsencrypt.org/directory
authenticator = manual
manual_auth_hook = /root/infomaniak-auth.sh
key_type = rsa

Crea lo script infomaniak-auth.sh 

Crea il file /root/infomaniak-auth.sh con il seguente contenuto:

#!/bin/bash
INFOMANIAK_API_TOKEN=XXXXXXX
certbot certonly \
--authenticator dns-infomaniak \
--server https://acme-v02.api.letsencrypt.org/directory \
--agree-tos \
--rsa-key-size 4096 \
-d $CERTBOT_DOMAIN

Sostituisci XXXXXXX con il tuo token API di Infomaniak.

Rinnovo automatico

Pianifica l'esecuzione periodica di certbot renew tramite un task cron per considerare il file di configurazione e rinnovare automaticamente il tuo certificato a intervalli regolari.

0 0 */x * * /usr/bin/certbot renew --quiet --config /etc/letsencrypt/renewal/domain.tld.conf

Sostituisci /x con la frequenza di rinnovo desiderata, ad esempio ogni 30 giorni.

Note importanti

• Proteggi i file di configurazione e gli script che contengono informazioni sensibili, come i token API.
• Verifica il processo di rinnovo manuale e automatico per assicurarti che tutto funzioni correttamente prima della data di scadenza del certificato esistente.