Créer un certificat ZeroSSL avec acme.sh et un challenge DNS

Afin de créer un certificat, le protocole ACME propose de vérifier votre domaine par l'échange d'une information secrète.

Par défaut, cet échange est fait par HTTP, mais il peut être fait par DNS, et DNS est imposé pour la création d'un certificat wildcard (certificat pour tous les sous domaines d'un domaine).

Pour utiliser le challenge DNS entre ZeroSSL et les serveurs DNS de LeBureau.coop, vous devez obtenir une clef TSIG en la demandant à notre support.

Sur votre serveur, vous devez alors installer acme.sh et nsupdate, et créer le fichier de configuration suivant à partir des informations de clef reçues :

# contenu de /path/to/example_com.key

key "lebureau_coop_example_com" {
    algorithm hmac-sha512;
    secret "4q4wM/2I180UXoMyN4INVhJNi8V9BCV+jMw2mXgZw/CSuxUT8C7NKKFs AmKd7ak51vWKgSl12ib86oQRPkpDjg==";
};

Enfin, lancez acme.sh en activant le hook dns_nsupdate et en utilisant le fichier créé ci dessus :

# décommentez une des 4 lignes
#export NSUPDATE_SERVER=2a01:e34:ec4d:a570::2
#export NSUPDATE_SERVER=2a0e:e701:1010::1
#export NSUPDATE_SERVER=45.13.107.8
#export NSUPDATE_SERVER=78.196.218.87
export NSUPDATE_ZONE=example.com
export NSUPDATE_KEY=/path/to/example_com.key
acme.sh \

--issue \
    --dns dns_nsupdate \
    -d $NSUPDATE_ZONE -d '*.'$NSUPDATE_ZONE

Vos certificats devraient alors se trouver dans ~/.acme.sh/example.com/