Let's encryptのSSL証明書をワイルドカードドメインで利用するためにDNS-01対応で運用する

前提

SSL証明書にLet's encryptを使いたい。
SSL証明書を使うドメインはワイルドカードを使いたい。
- ワイルドカードを使うためにはDNS-01チャレンジ方式が必要。
- ワイルドカードが必要ないならHTTP-01チャレンジ方式で済むのでこの記事は必要ないはず。
- HTTP-01チャレンジ方式：Let's encryptのSSL証明書を希望している申請者のサーバーにLet's encryptシステムがHTTP通信でアクセスをして確認する方式。
- DNS-01チャレンジ方式：Let's encryptのSSL証明書を希望している申請者の申請しているドメインのDNSの特定のTXTレコードにLet's encryptが生成した値が書かれているかを確認する方式。無料のサブドメインを貸し出してくれるサービスが世の中にたくさんあり、その利用者がワイルドカードのSSL証明書を申請する不正を防ぐため。
DNSはAWS route 53で運用している。
自動でSSL証明書を更新したい。
先人の資料 https://certbot-dns-route53.readthedocs.io/en/stable/ https://qiita.com/F_clef/items/136d81223c030904523c https://qiita.com/tektoh/items/1973cf28e2a52abbb2ae https://solidseed.co.jp/column/aws-docker-letsencrypt-wildcard-certificate/

SSL証明書を作成する

SSL証明書を作成する
- https://certbot.eff.org/docs/install.html#running-with-docker
certbotのdockerイメージを取得する。なくても docker run で取得されるけど問題が起きたときに原因を切り分けたいので取得は取得で。 shell docker pull certbot/certbot
SSL証明書を作成する。

sudo docker run \
    -it \
    --rm \
    --name certbot \
    -v "/etc/letsencrypt:/etc/letsencrypt" \
    -v "/var/lib/letsencrypt:/var/lib/letsencrypt" \
    -v "/root:/root" \
    -e AWS_CONFIG_FILE=/aws/.aws/credentials \
    certbot/dns-route53 \
        certonly \
        --manual \
        --server https://acme-v02.api.letsencrypt.org/directory \
        --preferred-challenges dns \
        -d *.example.com \
        -m admin@example.com \
        --agree-tos \
        --manual-public-ip-logging-ok

AWSにDNSレコード更新用のユーザーを作成する

AWS Route53で管理している対象のドメインのhosted zone IDを取得する。
- https://console.aws.amazon.com/route53/v2/hostedzones#
- hosted zone id
ドメインのDNSレコードを更新できるポリシーを作成する。
- https://console.aws.amazon.com/iam/home#/policies$new?step=edit
- JSON

{
    "Version": "2012-10-17",
    "Id": "certbot-dns-route53 sample policy",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "route53:ListHostedZones",
                "route53:GetChange"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "route53:ChangeResourceRecordSets"
            ],
            "Resource": [
                "arn:aws:route53:::hostedzone/rewrite-your-hosttedzoneID-maybe-Z3XXXXXXXXXXXX"
            ]
        }
    ]
}

ユーザーを作成する
- https://console.aws.amazon.com/iam/home?#/users$new?step=details
  - アクセスの種類: API
  - 既存のポリシーを直接アタッチする。
    - 前項で作った名前を検索ボックスに入力して検索するとすぐ見つかる。
- ポリシーを選択する。
- ユーザーを作成する。
- 作成後の画面に記載されているクレデンシャルをメモっておくかCSVをダウンロードする。

定期的にSSL証明書を更新するcrontabを設定する

AWS用設定ファイルを用意する。
- https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-configure-files.html
- 例えば ~/.aws/creadentials.csv に前項で取得したクレデンシャルをいかの形式で記載して保存する。

[default]
aws_secret_access_key = 41-letters-string
aws_access_key_id = AKIXXXXXXXXXXXXXXXXX

AWS route53用のcertbotのdockerイメージを取得する。なくても docker run で取得されるけど問題が起きたときに原因を切り分けたいので取得は取得で。

docker pull certbot/dns-route53

更新できるか試す。作ったばかりなので更新されないがエラーが出ない確認にはなる。

sudo docker run \
-it \
--rm \
--name certbot \
-v "/etc/letsencrypt:/etc/letsencrypt" \
-v "/var/lib/letsencrypt:/var/lib/letsencrypt" \
-v "/root:/root" \
-e AWS_CONFIG_FILE=/aws/.aws/credentials \
certbot/dns-route53 \
    certonly \
    -n \
    --agree-tos \
    --email 'admin@example.com' \
    --dns-route53 \
    --dns-route53-propagation-seconds 30 \
    -d *.example.com

上記のコマンドをcrontabに記載する。これは毎月2日6時0分。運用開始の前に翌日の日付を指定して問題ないことを確認してから日付を希望の日時を指定すること。

0 6 2 * * docker run -it --rm --name certbot -v "/etc/letsencrypt:/etc/letsencrypt" -v "/var/lib/letsencrypt:/var/lib/letsencrypt" -v "/root:/root" -e AWS_CONFIG_FILE=/aws/.aws/credentials certbot/dns-route53 certonly -n --agree-tos --email 'admin@example.com' --dns-route53 --dns-route53-propagation-seconds 30 -d *.example.com