Wildcard-сертификат

Обратный прокси(reverse proxy) NPM. Nginx Proxy Manager
1

Люди добрые расскажите с картинками или снимите видео как в NPM получить wildcard сертификат, ну тот который со звездочкой? Я знаю что так можно, но руки не дошли.

2

Особенность выпуска *.domain.ru wildcard через NPM в том, что нужно использовать при его выпуске DNS челендж.
И тут токность в том, что NPM должен поддерживать интеграцию c доменным регистратром, который вы используете.

Процедура ни чем не отличается от того, что мы делали для получения сертификата через днс челендж у duckdns

image
image1012×660 85.7 KB
image
image521×668 82.4 KB

А тем, у кого с английским нормально - вот ролик Christian Lempa через CF выпускает

PS
не смотря на наличие reg.ru в списке, я последний раз трогал года полтора назад - не работало, разбираться не стал, мне wild был не критичен.

1 лайк
3

Добавлю свои 2 копейки:

Для неподдерживаемых регистраторов я поднял AcmeDNS и уже через эту штуку делал автообновление LE сертификатов. Есть и не self hosted решение, там еще проще

1 лайк
4
Я сделаль!!!

image
image800×705 56.5 KB

Рассказываю про reg.ru
Идем в Настройки → Настройки API

image
image1837×949 90 KB

И там прописываем пароль API, можно не прописывать, а ходить своим логином и паролем от reg.ru, но мне ссыкотно, поэтому я прописал. Пароль пишем длинный и складываем в менеджер паролей.
Так же прописываем IP адрес с которого придет certbot в нашем случает Nginx Proxy Manager, я указал свой белый IP

image
image1863×935 62.8 KB

В NPM дальше все по инструкциям что выше, выбираем из списка reg.ru, логин - ежу понятно от админки, а пароль тот который установили в настройках API

image
image551×919 42.3 KB

Как и предупреждалось в видео, может не сработать с первого раза, я на второй раз чет психанул и таймаут выставил на 5 минут и все получилось.

Спасибо, всем причастным.

2 лайка
5

Круто! спасибо, что поделился.
Другим будет полезно.

6

Я для себя пришел к решению выпуска и перевыпуска сертификатов через acme, выше уже упоминали как раз)
Он и для классического веб-сервера удобен и для случаев когда запрос сертификата происходит на одном сервере, а его фактическое использование на другом (как раз мой случай), еще умеет работать с api популярных хостеров для dns челленджа
Список API
При желании можно и телеграм бота прикрутить.

2 лайка