Как автоматизировать процесс выдачи Wildcart сертификатов?

Question

[Loserver]

Как автоматизировать получение Wildcard-сертификатов?

Сейчас практикую получение через Certbot/acme.sh, но везде нужно ждать, пока обновится DNS, не закрывая командную строку. В промышленных масштабах это очень долго. Подскажите, в какую сторону искать информацию.

Comments

[Valentin Barbolin]

быстрее никак.

[Bermut]

Берешь домен, берешь свой ns, пишешь скрипт, который добавляет записи выданные certbot в конфиг твоего ns, обновляешь зону, готово.
Можно прикрутить к этому делу api cloudflare, если домены у тебя на нем.

[Дмитрий]

для acme.sh существует куча готовых плагинов для DNS:
https://github.com/acmesh-official/acme.sh/wiki/dnsapi
acme.sh сам поменяет нужные записи и сам их удалит после валидации

если используете что-то совсем экзотическое - можно написать свой

Answer 1

[Alexey Dmitriev]

В сторону DNS плагинов к certbot.

Answer 2

[Rsa97]

Если у вашего NS есть API, позволяющее менять записи, то вам надо написать два скрипта. Один должен создавать challenge-запись, второй удалять её.
Имя валидируемого домена в момент вызова скрипта находится в переменной окружения CERTBOT_DOMAIN, значение challenge в CERTBOT_VALIDATION.
После этого надо в файле /etc/letsencrypt/renewal/ваш_домен.conf в секции [renewalparams] изменить строку
pref_challs = dns-01,и добавить две строки

manual_auth_hook = /путь/к/скрипту_создания_записи
manual_cleanup_hook = /путь/к/скрипту_удаления_записи

Answer 3

[CityCat4]

В промышленных масштабах никто не использует LE. В промышленных масштабах делают свой CA и сами себе их выдают.
Теоретически, я мог бы скриптами поделиться :)

Answer 4

[ksnovv]

Можно посмотреть в сторону acmeproxy