メモとかメモのようなものとか(By ルーキーの中のひと)

ユーザ用ツール

サイト用ツール

トレース: knot DNSを利用しての証明書取得 Buypass
serverapps:security:cert:acmesh:knotdns

差分

このページの2つのバージョン間の差分を表示します。

この比較画面へのリンク

両方とも前のリビジョン前のリビジョン
次のリビジョン		前のリビジョン
serverapps:security:cert:acmesh:knotdns [2025/04/18 08:09] adminserverapps:security:cert:acmesh:knotdns [2025/05/10 02:34] (現在) – [acme.sh側の操作] hayashi
行 1: 行 1:
-====== knot DNS ====== +====== knot DNSを利用しての証明書取得 ======
-APIを利用してDNSにchallengeを登録するための設定+
  
-TSIG key作成+  * インストール等は完了しているものとします 
 +  * KnotDNSにて DNS01認証での証明書取得行います 
 +  * 取得後の配置は手動で行う前提で
  
-  # keymgr tsig generate -t acme_key hmac-sha512 > /usr/local/etc/knot/keys/acme.key+===== knot DNSの設定 =====
  
-  # cat keys/acme.key +  * [[serverapps:dns:knotdns:knotdnsddns|APIを利用してDNSにchallengeを登録するための設定]]
-  # hmac-sha512:acme_key:VNvks8r1skkAB4XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXMxqQr2DezFTMISPvmeSBi== +
-  key: +
-    - id: acme_key +
-      algorithm: hmac-sha512 +
-      secret: VNvks8r1skkAB4XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXMxqQr2DezFTMISPvmeSBi==+
  
-作成したKeyをknot.confでincludeする((行頭に空白があるとエラーになるで注意))+===== acme.sh側操作 =====
  
-  include: /usr/local/etc/knot/keys/acme.key+※ 環境は FreeBSD 14.3p3 を使用しています
  
-次に、ゾーンが動的更新を許可するように設定する+dnsapiの用意((pkgでイストールしましたコピーされていませんでした))
  
-<code ini> +  $ mkdir .acme.sh/dnsapi/ 
-acl: +  $ cp /usr/local/share/examples/acme.sh/dnsapi/dns_knot.sh .acme.sh/dnsapi/
-  - id: acme_acl +
-    address: 192.168.1.0/24 +
-    key: acme_key +
-    action: update+
  
-zone: +knsupdate の用意((KnotDNSの更新に使用しています))((knotDNSのある環境からコピーしても動くかもしれませんが、筆者はpkgで入れてしまいました)) 
-  - domain: example.com + 
-    file: example.com.zone +  $ sudo pkg install knot3 
-    acl: acme_acl+ 
 +acme.shがDNSサーバーとTSIGキーを利用できるようにします((KNOT_SERVERおよび設定KNOT_KEYは ~/.acme.sh/account.conf に保存され、必要に応じて再利用されます。)) 
 + 
 + 
 +  export KNOT_SERVER='dns.example.com' 
 +  export KNOT_KEY='hmac-sha512:acme_key:riHDKb3AMPW8RCD38AbPs+riHDKb3AMPW8RCD38AbP/riHDKb3AMPW8RCD38AbP/riHDKb3AMPW8RCD38AbP/Q==' 
 + 
 +github上のドキュメントでは 以下の様にkeymgrで作成されたfileを指定すればOKとなっていますが、筆者の環境では**動作しません**でした((2025.04.22 FreeBSD 14.3p3)) 
 + 
 +  keymgr tsig generate -t acme_key hmac-sha512 > /etc/knot/acme.key 
 +  export KNOT_KEY='/etc/knot/acme.key' 
 + 
 + 
 +証明書を発行 
 + 
 +  ./acme.sh --issue --dns dns_knot -d example.com -d *.example.com 
 +  ./acme.sh --issue --dns dns_knot -d example.com --server  letsencrypt_test 
 + 
 +発行時中の待機時間を延ばすためには 
 +<code> 
 +  --dnssleep 300
 </code> </code>
 +
 +のようにオプションを追加する(指定は秒)
 +
 +====== 参考 ======
 +
 +  * [[https://github.com/acmesh-official/acme.sh/wiki/dnsapi#dns_knot|Use Knot (knsupdate) DNS API to automatically issue cert]]
 +
  
  
  
serverapps/security/cert/acmesh/knotdns.1744963780.txt.gz · 最終更新: by admin