🎉

Google Domainsで無料でTLS証明書を発行できる(らしい)

2023/03/03に公開

1 注意

この記事はGoogle blogを基に書かれています。ほぼコピペです。
Google Trust Services TLS証明書を発行する方法について書いています。
参考程度にし、全て自己責任で実行してください。

2 Certbotでの方法

1 EAB Keyを取得する

Google domainsからドメインを選択し、「セキュリティ」の項目にある「高度なセキュリティ機能」から「Google Trust Services」を選択するとEABキーを取得できます。

2 Certbotで登録する

<CONTACT_EMAIL>はメアドに、<EAB_KEY_ID>と<EAB_HMAC_KEY>はGoogle domainsから取得したキーに置き換えてください。

certbot register --email <CONTACT_EMAIL> --no-eff-email --server "https://dv.acme-v02.api.pki.goog/directory" --eab-kid "<EAB_KEY_ID>" --eab-hmac-key "<EAB_HMAC_KEY>"

3-1 証明書を発行する(standaloneを使用)

<domain.com>は取得しているドメインに置き換えてください。

certbot certonly -d <domain.com> --server "https://dv.acme-v02.api.pki.goog/directory" --standalone

3-2 証明書を発行する(DNSを使用)

個人的にはこっちがおすすめです。ワイルドドメインの証明書も発行できました。
ただプラグインをインストールしてもCertbot側が認識しないことがありました。
pip3コマンドでプラグインをインストールします。

pip3 install certbot-dns-google-domains

アクセストトークンを記載したファイルを作成します。

sudo vim /var/lib/letsencrypt/dns_google_domains_credentials.ini
dns_google_domains_access_token = <アクセストークン>

chmodで権限を設定します。

sudo chmod 600 /var/lib/letsencrypt/dns_google_domains_credentials.ini

以下のコマンドで発行できました。

sudo certbot certonly \
--authenticator 'dns-google-domains' \
--dns-google-domains-credentials '/var/lib/letsencrypt/dns_google_domains_credentials.ini' \
--server "https://dv.acme-v02.api.pki.goog/directory" \
-d <domain.com>

3 まとめ

無料で発行出来るってめっちゃありがたい…

編集履歴:
3/10 3-2を追加しました。

Discussion