¿Cómo configuro un certificado comodín Let's Encrypt para Apache en una instancia EC2 AMI de Amazon Linux 2?

tag-icon tag-icon amazon-ec2 lets-encrypt certbot wildcard-subdomain txt-record
¿Cómo configuro un certificado comodín Let's Encrypt para Apache en una instancia EC2 AMI de Amazon Linux 2?

Tengo un dominio (digamos example.com) y actualmente tengo un certificado Let's Encrypt configurado y funcionando correctamente para example.comApache www.example.comen una instancia EC2 AMI de Amazon Linux 2, y estoy intentando reconfigurar el certificado para configurarlo para un dominio comodín (es decir, *.example.com).

Entré por SSH en la instancia EC2 y ejecuté el siguiente comando en un intento de hacer esto (con el dominio real, no example.com):

sudo certbot certonly --manual --preferred-challenges=dns --server https://acme-v02.api.letsencrypt.org/directory -d example.com -d *.example.com

Al ejecutar ese comando, aparece el siguiente mensaje:

Vamos a cifrar el intento de certificado comodín

Luego agrego un registro TXT a mi configuración de DNS en Google Domains cuando el mensaje sugiere lo siguiente:

Configuración DNS de dominios de Google

Luego verifiqué que el registro TXT está ahí usando el siguiente sitio e ingresando la _acme-challengeURL/nombre de host:

https://dnslookup.online/txt.html

Al confirmar que el registro está allí, presiono Enter en la consola SSH, pero aparece el siguiente error:

Mensaje de error del certificado comodín de Let's Encrypt

¿Qué estoy haciendo mal que no me permite emitir un certificado comodín? Cualquier ayuda/orientación es muy apreciada. Gracias.

Editar: Debo señalar que utilicé la siguiente publicación como punto de partida para esto:https://community.letsencrypt.org/t/you-may-need-to-use-a- Different-authenticator-plugin/115026/4

Respuesta1

Resolví el problema. Cuando estaba ingresando el registro TXT en Google Domains, solo debería haber escrito _acme-challengeel nombre del host, pero estaba escribiendo _acme-challenge.example.com, lo que provocaba que el nombre del host del registro TXT fuera incorrecto.

Después de arreglar eso, el primer desafío se realizó con éxito y luego tuve que pasar un segundo desafío de cadena aleatoria para que funcionara.

Tenga en cuenta que cuando utilice Google Domains, para el segundo desafío TXT, no debe crear un nuevo registro TXT ni reemplazar el valor del registro TXT actual. En su lugar, desea agregar un nuevo valor al registro TXT existente (manteniendo el primer valor sin editar).

Además, una vez que esto funcionó, tuve que actualizar los archivos /etc/httpd/conf/httpd.confy /etc/httpd/conf/httpd-le-ssl.confen el servidor para que ServerAliasfuncionara *.example.com. No olvide reiniciar Apache también después de que todo esté hecho. Con suerte, después de hacer eso, también funcionará para usted.

información relacionada