Note. TrueNAS Scale. ACME RFC 2136. Howto: ACME DNS-Authenticator shell script using acmesh project

Умови:

Є контрольований DNS server (BIND) з можливістю оновлювати записи з використанням nsupdate RFC 2136.

Є TrueNAS SCALE Server Dragonfish-24.04.2.5.

Задача:

Додати автоматично оновлюваний сертифікат безпеки  від Let’s Encrypt,  відповідно до стандартів ACME (RFC 8555).

Основі матеріали:

• Howto: ACME DNS-Authenticator shell script using acmesh project
• TrueNAS SCALE - Adding LetsEncrypt Certificates

Дії:

1. Створити ZFS dataset: system_tools.
   Повний шлях монтування з pool mdata - /mnt/mdata/system_tools.
2. Отримати доступ до консолі, через GUI або SSH.
3. Створити робочу теку /mnt/mdata/system_tools.
4. Завантажити та встановити acme.sh  до теки /mnt/mdata/system_tools/acme.
   mkdir /mnt/mdata/system_tools/acme
   cd /mnt/mdata/system_tools/acme
   git clone –depth 1 https://github.com/acmesh-official/acme.sh.git
5. Створити скрипт dns_acme.sh на основі публікації, де змінити данні для змінних NSUPDATE_SERVER, NSUPDATE_KEY на власні:

6. Створити файл /mnt/mdata/system_tools/acme/.nsupdate.key, де secret можна отримати командую “openssl rand -base64 64”

   key "some-key" {
       algorithm hmac-sha512;
       secret " … ==";
   };
   

7. Змінити права доступу до файлу: chmod 600 /mnt/mdata/system_tools/acme/.nsupdate.key

8. Додати ACME DNS-Authenticators dns_acme.

   
   dns_acme

   

9. Зробити налаштування відповідно до відео інструкції. з використанням dns_acme при створені сертифікату.