Jak vygenerovat certifikáty Let’s Encrypt s pomocí ACMESharp (4): Žádost o SAN certifikát
V tomto seriálu se budu věnovat nasazení certifikátů certifikační autority Let’s Encrypt, které jsou k dispozici zdarma. Specialitou tohoto návodu bude generování certifikátů pro prostředí, které je offline, tedy bez přístupu k internetu.
Žádost o SAN certifikát – Popis krok za krokem
- registrace prvního dns záznamu New-ACMEIdentifier -Dns www.zobec.cz -Alias web1dn19102801
- určení způsobu ověření prvního záznamu Complete-ACMEChallenge web1dn19102801 -ChallengeType dns-01 -Handler manual
- pokud se nezobrazí Challenge Resource Record (RR) použijte příkaz (Update-ACMEIdentifier web1dn19102801 -ChallengeType dns-01).Challenges | Where-Object {$_.Type -eq „dns-01“}
- registrace druhého dns záznamu New-ACMEIdentifier -Dns zobec.cz -Alias web2dn19102801
- určení způsobu ověření druhého záznamu Complete-ACMEChallenge web2dn19102801 -ChallengeType dns-01 -Handler manual
- pokud se nezobrazí Challenge Resource Record (RR) použijte příkaz (Update-ACMEIdentifier web2dn19102801 -ChallengeType dns-01).Challenges | Where-Object {$_.Type -eq „dns-01“}
- je třeba nastavit TXT DNS záznamy v doméně
- ověření změn v TXT DNS záznamech
- Zadat příkaz v PowerShell: nslookup -q=TXT _acme-challenge.www.zobec.cz 8.8.8.8, nebo
- alternativně skrze MxToolBox https://mxtoolbox.com/SuperTool.aspx?action=txt%3a_acme-challenge.www.zobec.cz&run=networktools
- ověření změn v TXT DNS záznamech
- Zadat příkaz v PowerShell: nslookup -q=TXT _acme-challenge.zobec.cz 8.8.8.8, nebo
- alternativně skrze MxToolBox https://mxtoolbox.com/SuperTool.aspx?action=txt%3a_acme-challenge.zobec.cz&run=networktools
- ověření změn v TXT DNS záznamech
- změny TXT záznamů se projeví za cca 15 minut
- ověření prvního záznamu Submit-ACMEChallenge web1dn19102801 -ChallengeType dns-01
- ověření druhého záznamu Submit-ACMEChallenge web2dn19102801 -ChallengeType dns-01
- počkat 5 minut
- ověření stavu žádosti Update-ACMEIdentifier web1dn19102801
- ověření stavu žádosti Update-ACMEIdentifier web2dn19102801
Žádost o certifikát obsahující SAN
Alias pro certifikát by měl obsahovat datum kvůli postupnému prodlužování certifikátu.
- Definice certifikátu se SAN New-ACMECertificate web1dn19102801 -Generate -AlternativeIdentifierRefs web1dn19102801,web2dn19102801 -Alias webcr19102801
- Žádost o certifikát se SAN Submit-ACMECertificate webcr19102801
Export certifikátu pro Windows
- zjištění stavu certifikátu Get-ACMECertificate webcr19102801
- aktualizace certifikátu (SN, apod.) Update-ACMECertificate webcr19102801
- export certifikátu pro systémy Windows Get-ACMECertificate -Ref webcr19102801 -ExportPkcs12 c:\temp\cert\webcr19102801.pfx -CertificatePassword „Password1234+“
Seriál Jak vygenerovat certifikáty Let’s Encrypt s pomocí ACMESharp
- (1) Úvod [předchozí díl]
- (2) Instalace a počáteční konfigurace [předchozí díl]
- (3) Odlišnosti a praktické zkušenosti s Let’s Encrypt [předchozí díl]
- (4) Žádost o SAN certifikát [tento článek]
Pingback: Jak vygenerovat certifikáty Let's Encrypt s pomocí ACMESharp (1): Úvod | Michal Zobec: Blog // ZOBEC Consulting
Pingback: Jak vygenerovat certifikáty Let's Encrypt s pomocí ACMESharp (2): Instalace a počáteční konfigurace | Michal Zobec: Blog // ZOBEC Consulting
Pingback: Jak vygenerovat certifikáty Let's Encrypt s pomocí ACMESharp (3): Odlišnosti a praktické zkušenosti s Let's Encrypt | Michal Zobec: Blog // ZOBEC Consulting