Att säkra sina webbplatser är inget nytt, men att kontinuerligt uppdatera sin säkerhet är något som många glömmer. När går mitt certifikat ut? Hur vet jag när jag ska förnya? Vilka certifikat är det jag har? Med beebytes nya plugin för Certbot kommer det bli lite lättare att hålla koll på dina certifikat och säkerställa att de förnyas överallt.
Ett certifikat för alla dina subdomäner
När vi pratar om säkerhet på webben så är SSL-certifikat en given faktor. Det gör din webbplats säkrare och skyddar din och dina besökares data. Men att ha många subdomäner kan komma med stora logistiska utmaningar. Det är här Wildcard certifikat kommer in i bilden.
Ett Wildcard certifikat skyddar både din huvuddomän och alla dina subdomäner. Genom att applicera en * framför ditt domännamn så skyddas alla de subdomäner som är kopplade till din huvuddomän. Istället för att hantera flera certifikat så räcker det med att hantera ett. Det minskar både tid och ansträngning för administration.
Nackdelen idag med Wildcard certifikat från Let’s Encrypt är att man helt manuellt behöver förnya de var tredje månad, om man inte köper ett certifikat som är giltigt ett helt år.
Nytt plugin gör hanteringen smidigare
För att göra ett smidigt system ännu smidigare har nu beebyte utvecklat ett plugin för Certbot, ett populärt verktyg för att hantera SSL-certifikat direkt på din server. Tillsammans med det nya pluginet och beebytes DNS API kan du nu automatiskt skapa de DNS pekare som behövs för DNS-01 validering. DNS-01 är en metod för att verifiera domänägarskap. Med hjälp av APIet lägger pluginet in en TXT-post i domänens DNS-inställningar för att, under en certifieringsprocess, tillhandahålla ett SSL-certifikat.
En ytterligare fördel med att använda Certbot och pluginet är att de domänunika API-nycklarna endast har rättigheter att skapa och ta bort TXT-pekare på domänen som skapat dom. Det medför en väldigt stor trygghet i att det med minimala möjligheter kommer att ställa till med säkerhetsproblem, trots den stora mängden domäner som certifikatet omfattar.
Bra att veta:
– Dina domäner och din DNS service måste ligga hos beebyte.
– APIet är begränsat till det domännamnet du genererar nyckeln till och kan endast hantera TXT-pekare.
– Du behöver fortfarande förnya certifikatet var tredje månad. Det går dock att automatisera via t.ex. cronjob.
Enkel aktivering i fyra steg
För att aktivera pluginet följer du fyra steg:
1. Skapa först en API-nyckel för domänen. Det gör du genom att gå in på din domän sida i kundportalen. Klicka sedan in dig på den domänen du vill skapa nyckeln för och välj “Letsencrypt API nyckel” i menyn. Din API-nyckel kommer att synas längst ner på sidan.
2. Installera Certbot och beebytes nya plugin. Kom ihåg att byta ut ’my-key’ till din egna API-nyckel.
root@server:~# apt install certbot
root@server:~# apt install python3-pip
root@server:~# pip install 'git+https://github.com/beebyte/certbot-dns-beebyte'
3. Lägg in din API-nyckel. Där det står ’*.example.com’ lägger du till din egna domän med * symbolen framför.
root@server:~# echo "dns_beebyte_api_key = my-key" > /etc/certbot-dns-beebyte.ini
4. Kör Certbot tillsammans med det nya beebyte pluginet.
root@server:~# certbot certonly --authenticator dns-beebyte \
--dns-beebyte-credentials /etc/certbot-dns-beebyte.ini --dns-beebyte-wait -d '*.example.com'
