• インストール等は完了しているものとします
• KnotDNSにて DNS01認証での証明書取得を行います
• 取得後の配置は手動で行う前提です

• APIを利用してDNSにchallengeを登録するための設定

※ 環境は FreeBSD 14.3p3 を使用しています

dnsapiの用意¹⁾

$ mkdir .acme.sh/dnsapi/
$ cp /usr/local/share/examples/acme.sh/dnsapi/dns_knot.sh .acme.sh/dnsapi/

knsupdate の用意²⁾³⁾

$ sudo pkg install knot3

acme.shがDNSサーバーとTSIGキーを利用できるようにします⁴⁾

export KNOT_SERVER='dns.example.com'
export KNOT_KEY='hmac-sha512:acme_key:riHDKb3AMPW8RCD38AbPs+riHDKb3AMPW8RCD38AbP/riHDKb3AMPW8RCD38AbP/riHDKb3AMPW8RCD38AbP/Q=='

github上のドキュメントでは 以下の様にkeymgrで作成されたfileを指定すればOKとなっていますが、筆者の環境では動作しませんでした⁵⁾

keymgr tsig generate -t acme_key hmac-sha512 > /etc/knot/acme.key
export KNOT_KEY='/etc/knot/acme.key'

証明書を発行

./acme.sh --issue --dns dns_knot -d example.com -d *.example.com
./acme.sh --issue --dns dns_knot -d example.com --server  letsencrypt_test

発行時中の待機時間を延ばすためには

  --dnssleep 300

のようにオプションを追加する(指定は秒)

• Use Knot (knsupdate) DNS API to automatically issue cert