<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Sep 12, 2017 at 11:39 AM, Pete Wright <span dir="ltr"><<a href="mailto:pete@nomadlogic.org" target="_blank">pete@nomadlogic.org</a>></span> wrote:<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
one issue i've had with let's encrypt is trying to use it on private subdomains on AWS.  iirc the system needs to have a public DNS entry as well as access from the internet to work - i might be mistaken tho on this...</blockquote><div><br></div>I've been cheating for a few months now in order to generate internal/private Let's Encrypt certs. We have a tiny AWS instance, which we use to keep URLs alive for some disused domains, and also point the wildcard for our entire intranet subdomain there (on public DNS anyway). I run an nginx config like this, which allows only the /.well-known directory to be accessible, and other connections drop hard:<div><br></div><div><div>server {</div><div>  listen 80; </div><div><br></div><div>  server_name *.<a href="http://intranet.example.com">intranet.example.com</a>;</div><div><br></div><div>  location / {</div><div>    # drop the connection hard (except for /.well_known)</div><div>    return 444; </div><div>  }</div><div><br></div><div>  # public_html for .well-known (letsencrypt)</div><div>  location /.well-known {</div><div>    alias /var/www/redirect/public_html/.well-known;</div><div>  }</div><div><br></div></div><div>} </div><div><br></div><div>We use certbot to handle new certs and renewals (but I think acme.sh should work, too), and copy the cert dir to our puppet server, which deploys fresh certificates to the appropriate hosts; renewals always work, because we don't have to mess with public DNS at all. Of course, all of this only works if you also run your own private DNS.</div><div><br></div><div>Let's Encrypt has some limits that can get annoying for this specific use case; you can register effectively unlimited domains, but are limited to 20 subdomains per domain per week. To make it even more complicated, there is no limit for renewals, but renewals also count against those 20 subdomains per week, so if you happen to have a few hundred internal subdomains, you will still run into these limits 90 days down the line, when the certs renew (I just had this issue and was able to resolve via their rate adjustment form and community forum; very responsive and helpful for a free/donation-based service).</div></div><br></div></div>