Jak vygenerovat certifikáty Let’s Encrypt s pomocí ACMESharp (4): Žádost o SAN certifikát

V tomto seriálu se budu věnovat nasazení certifikátů certifikační autority Let’s Encrypt, které jsou k dispozici zdarma. Specialitou tohoto návodu bude generování certifikátů pro prostředí, které je offline, tedy bez přístupu k internetu.

Žádost o SAN certifikát – Popis krok za krokem

  1. registrace prvního dns záznamu New-ACMEIdentifier -Dns www.zobec.cz -Alias web1dn19102801
  2. určení způsobu ověření prvního záznamu Complete-ACMEChallenge web1dn19102801 -ChallengeType dns-01 -Handler manual
  3. pokud se nezobrazí Challenge Resource Record (RR) použijte příkaz (Update-ACMEIdentifier web1dn19102801 -ChallengeType dns-01).Challenges | Where-Object {$_.Type -eq „dns-01“}
  4. registrace druhého dns záznamu New-ACMEIdentifier -Dns zobec.cz -Alias web2dn19102801
  5. určení způsobu ověření druhého záznamu Complete-ACMEChallenge web2dn19102801 -ChallengeType dns-01 -Handler manual
  6. pokud se nezobrazí Challenge Resource Record (RR) použijte příkaz (Update-ACMEIdentifier web2dn19102801 -ChallengeType dns-01).Challenges | Where-Object {$_.Type -eq „dns-01“}
  7. je třeba nastavit TXT DNS záznamy v doméně
    1. ověření změn v TXT DNS záznamech
      1. Zadat příkaz v PowerShell: nslookup -q=TXT _acme-challenge.www.zobec.cz 8.8.8.8, nebo
      2. alternativně skrze MxToolBox https://mxtoolbox.com/SuperTool.aspx?action=txt%3a_acme-challenge.www.zobec.cz&run=networktools
    2. ověření změn v TXT DNS záznamech
      1. Zadat příkaz v PowerShell: nslookup -q=TXT _acme-challenge.zobec.cz 8.8.8.8, nebo
      2. alternativně skrze MxToolBox https://mxtoolbox.com/SuperTool.aspx?action=txt%3a_acme-challenge.zobec.cz&run=networktools
  8. změny TXT záznamů se projeví za cca 15 minut
  9. ověření prvního záznamu Submit-ACMEChallenge web1dn19102801 -ChallengeType dns-01
  10. ověření druhého záznamu Submit-ACMEChallenge web2dn19102801 -ChallengeType dns-01
  11. počkat 5 minut
  12. ověření stavu žádosti Update-ACMEIdentifier web1dn19102801
  13. ověření stavu žádosti Update-ACMEIdentifier web2dn19102801

Žádost o certifikát obsahující SAN

Alias pro certifikát by měl obsahovat datum kvůli postupnému prodlužování certifikátu.

  1. Definice certifikátu se SAN New-ACMECertificate web1dn19102801 -Generate -AlternativeIdentifierRefs web1dn19102801,web2dn19102801 -Alias webcr19102801
  2. Žádost o certifikát se SAN Submit-ACMECertificate webcr19102801

Export certifikátu pro Windows

  1. zjištění stavu certifikátu Get-ACMECertificate webcr19102801
  2. aktualizace certifikátu (SN, apod.) Update-ACMECertificate webcr19102801
  3. export certifikátu pro systémy Windows Get-ACMECertificate -Ref webcr19102801 -ExportPkcs12 c:\temp\cert\webcr19102801.pfx -CertificatePassword „Password1234+“

 

 

Seriál Jak vygenerovat certifikáty Let’s Encrypt s pomocí ACMESharp

 

 

Michal Zobec

Michal Zobec Senior IT Consultant, Project Manager ZOBEC Consulting