Automatisera Let's Encrypt wildcard-förnyelse

Tjena.

Jag har suttit ett tag och funderat på det där med att få wildcard-cert till allt på min ena domän. Kört Nginx som reverseproxy och certbot integrera bra för förnyelse men jag gillar inte att det går at utläsa alla mina subdomäner i mitt certifikat, samt att jag ville ha en rolig catchall även med https. Kört wildcard manuellt bredvid det andra tidigare men det är tråkigt i längden.

Så, jag letade efter ett sätt att få ihop det med en DNS där jag ville avgränsa så jag enbart har en api-token på min reverseproxy, och den fick inte göra mer än ändra posten för acme-challenge. Har mejlposter i domänen jag inte vill blir kapade osv.

@Pitr- pratade väl om deSEC i en av mina tidigare trådar och de har möjlighet att avgränsa behörighet på tokens i deras API. Deras API är däremot inte helt smärtfritt att använda så när jag väl hade fått till det tänkte jag göra livet enklare för andra.

Snackade med Mistral och vi fick ihop ett litet script som jag gjort tillgängligt nedan:
https://drive.proton.me/urls/BTZF5KBJRC#AtaN4p83aqMh

Scriptet försöker guida så gått det går. Lägga över er domän till deSEC har de guider för. Detta är för att skapa säker nyckel i deras api och baka ihop det med Certbot så man kan köra DNS-utmaning på automaitk Bash-script då jag antar att alla servrar i världen kör Linux.

Hoppas det hjälper någon!

https://desec.readthedocs.io/en/latest/auth/tokens.html#token...

---

Denna behöver man skapa först
-

Denna skapar scriptet
-

Posten för _acme-challenge skapar certbot senare så den ska man inte lägga upp manuellt.

I slutet av scriptet får man en länk certbot-plugin för desec med lite andra trick. Skapas även en autensierings-fil enligt tips från desec instruktioner.
https://github.com/desec-io/certbot-dns-desec?tab=readme-ov-f...