Автоматизация выдачи сертификатов при помощи letsencrypt. / Вопросы по IT

Дедофорум (архив до 02.2022)

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Поиск

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Вопросы по IT / Автоматизация выдачи сертификатов при помощи letsencrypt.

25 сообщений из 50, страница 2 из 2

все

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1265391

Программизд 02

Администратор

Откуда: Дедореализм щекочет ваши коконы

Сообщения: 160 687

Рейтинг: 19115 / 966

Гидроцефалы всех стран соединяйтесь!

basename

Ок.

...

Рейтинг:

0 / 0

03.06.2019, 14:40

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1265406

basename

Участник

Откуда: Из браузера

Сообщения: 43 622

Рейтинг: 2180 / 161

Программизд 02

Если что - обращайся. Попробую помочь. Несложное ПО.

И на хабре подробно расписано, как работает.

По сути там тебе скачать, создать пользователя, немного конфиг подправить, указать домены, создать директории для апача, первый раз запустить зарегистрироваться, второй раз он выпишет сертификаты и потом настроить расписани. Всё.

...

Изменено: 03.06.2019, 14:47 - basename

Рейтинг:

0 / 0

03.06.2019, 14:43

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1265523

Гарыныч

Участник
[игнорирует гостей кроме]

Откуда: от Махмуда

Сообщения: 137 839

Рейтинг: 4503 / 692

( здесь лучше ей будет :) - ссылке от Конякулы)
1264619
https://alexey.detr.us/posts/2017/2017-03-05-letsencrypt-renewal/

...

Рейтинг:

0 / 0

03.06.2019, 15:24

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1265528

Программизд 02

Администратор

Откуда: Дедореализм щекочет ваши коконы

Сообщения: 160 687

Рейтинг: 19115 / 966

Гидроцефалы всех стран соединяйтесь!

Гарыныч 03.06.2019, 15:24

1265523

( здесь лучше ей будет :) - ссылке от Конякулы)
1264619
https://alexey.detr.us/posts/2017/2017-03-05-letsencrypt-renewal/

Базя уже обосрал это решение. И да вроде его рекомендация лучше.

...

Рейтинг:

1 / 0

Нравится: Гарыныч

03.06.2019, 15:25

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1265578

basename

Участник

Откуда: Из браузера

Сообщения: 43 622

Рейтинг: 2180 / 161

Программизд 02 03.06.2019, 15:25

1265528

Гарыныч 03.06.2019, 15:24

1265523

( здесь лучше ей будет :) - ссылке от Конякулы)
1264619
https://alexey.detr.us/posts/2017/2017-03-05-letsencrypt-renewal/

Базя уже обосрал это решение. И да вроде его рекомендация лучше.

я не обосрал. certbot весьма популярное и широко известное решение.

Когда искал себе средство автоматизации выдачи сертификатов, сразу на него наткнулся. certbot монструозен! и при установке из репозитария тянет кучу зависимостей. Я не люблю мусорить.

Продолжил поиск и наткнулся вот на dehydrated. Ощутимо проще, требует только bash и openssl, что везде есть, никаких дополнительных установок, просто настраивается и высокая гибкость автоматизации. Сертификаты выписывает, отправляет команду Nginx перечитать, работает полностью автономно. Всё, что требуется.

...

Рейтинг:

0 / 0

03.06.2019, 15:43

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1270680

bga83

Участник

Откуда: город-герой Ленинград

Сообщения: 6 170

Рейтинг: 826 / 13

basename 03.06.2019, 15:43

1265578

Когда искал себе средство автоматизации выдачи сертификатов, сразу на него наткнулся. certbot монструозен! и при установке из репозитария тянет кучу зависимостей. Я не люблю мусорить.

можно ж в докере его запускать, и пофиг что он там сеюе в свой контейнер притащил в качестве зависимостей

...

Рейтинг:

0 / 0

05.06.2019, 08:29

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1270924

basename

Участник

Откуда: Из браузера

Сообщения: 43 622

Рейтинг: 2180 / 161

bga83 05.06.2019, 08:29

1270680

basename 03.06.2019, 15:43

1265578

можно ж в докере его запускать, и пофиг что он там сеюе в свой контейнер притащил в качестве зависимостей

можно, но для этого нужно ставить и настраивать докер. А зачем, когда есть bash, openssl и ничего не нужно устанавливать и настраивать?

...

Рейтинг:

0 / 0

05.06.2019, 10:14

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1325663

Программизд 02

Администратор

Откуда: Дедореализм щекочет ваши коконы

Сообщения: 160 687

Рейтинг: 19115 / 966

Гидроцефалы всех стран соединяйтесь!

Решил сегодня поебаццо с dehydrated. Штука классная, на дебиfн ставится вообще через apt-get

apt-get install dehydrated dehydrated-apache2

Конфигурация до ужаса проста, но что то не работало, хоть ты тресни. В результате долгой еботни выяснил, что по дефолту переменная устанавливается

WELLKNOWN=/var/www/dehydrated

А вот апаче алиасик эти педорасы создают по дефолту сюда

Код

1.
2.

Alias /.well-known/acme-challenge/ /var/lib/dehydrated/acme-challenges/
<Directory /var/lib/dehydrated/acme-challenges/>

Выставил

WELLKNOWN=/var/lib/dehydrated/acme-challenges/

заработало.

Ебучие красногласики распездяи, налажают в настройках и заебешься потом искать где они налажли.

Но за наводку все равно спасибо, тем не менее dehydrated класс. Большую часть рабоыт сделано. Буду дальше разбираться.

...

Рейтинг:

0 / 0

25.06.2019, 18:39

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1325672

basename

Участник

Откуда: Из браузера

Сообщения: 43 622

Рейтинг: 2180 / 161

Программизд 02

Я когда через веб пробовал, вроде на такое не наталкивался. Может, конфиг обновили, да забыли поправить пример.

Либо это из пакета так ставится. Я качал архив, без установки.

...

Изменено: 25.06.2019, 18:46 - basename

Рейтинг:

0 / 0

25.06.2019, 18:45

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1325683

Программизд 02

Администратор

Откуда: Дедореализм щекочет ваши коконы

Сообщения: 160 687

Рейтинг: 19115 / 966

Гидроцефалы всех стран соединяйтесь!

basename 25.06.2019, 18:45

1325672

Либо это из пакета так ставится.

Это

Код: Apache

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.

#
# Apache configuration to serve http-01 ACME challenges responses.
# This is included from the dehydrated-apache2 package, thought to be used
# with dehydrated as packaged in Debian.

<IfModule proxy_module>
    # Do not proxy ACME challenge responses
    ProxyPass /.well-known/acme-challenge/ !
</IfModule>
<IfModule !alias_module>
    # Load the alias module, if not loaded already
    Include /etc/apache2/mods-available/alias.load
    Include /etc/apache2/mods-available/alias.conf
</IfModule>
<IfModule alias_module>
    # Serve ACME challenge responses
    Alias /.well-known/acme-challenge/ /var/lib/dehydrated/acme-challenges/
</IfModule>

<Directory /var/lib/dehydrated/acme-challenges/>
    Options FollowSymlinks
    Options -Indexes
    AllowOverride None
    # Apache >= 2.3
    <IfModule mod_authz_core.c>
        Require all granted
        Order Allow,Deny
        Allow from all
    </IfModule>
    # Apache < 2.3
    <IfModule !mod_authz_core.c>
        Order Allow,Deny
        Allow from all
    </IfModule>
</Directory>

...

Рейтинг:

0 / 0

25.06.2019, 18:51

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1325687

Программизд 02

Администратор

Откуда: Дедореализм щекочет ваши коконы

Сообщения: 160 687

Рейтинг: 19115 / 966

Гидроцефалы всех стран соединяйтесь!

basename

1) Про хуки не совсем понял. Зачем они?
2) Как часто крон должен выполняться? Каждый день и когда настает срок он обновит? или крон ставить на раз в три месяца?

...

Изменено: 25.06.2019, 19:06 - Программизд 02

Рейтинг:

0 / 0

25.06.2019, 18:53

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1325698

basename

Участник

Откуда: Из браузера

Сообщения: 43 622

Рейтинг: 2180 / 161

Программизд 02

Позже отвечу, сейчас с телефона, неудобно.

...

Рейтинг:

0 / 0

25.06.2019, 19:03

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1325940

basename

Участник

Откуда: Из браузера

Сообщения: 43 622

Рейтинг: 2180 / 161

Программизд 02 25.06.2019, 18:53

1325687

1) при помощи хуков на разных стадиях работы основного скрипта ты можешь выполнять какие-то свои действия. Оригинальный пример с хуками у тебя должен быть в пакете. в нём тоже достаточно подробно написано про параметры и функции.

Я использую в следующих целях: (пункт 7 стартового поста)
- после получения сертификатов копирую их в нужное мне место
- перечитываю конфиги nginx, чтобы загрузились новые сертификаты

Код

1.
2.
3.

    cp "${KEYFILE}" "${FULLCHAINFILE}" "${CHAINFILE}" /opt/certs/"${DOMAIN}"/
    ssh -i ~/.ssh/le_ecdsa root@nginx1.itworks "systemctl reload nginx"
    ssh -i ~/.ssh/le_ecdsa root@nginx2.itworks "systemctl reload nginx"

Эта стадия называется в скрипте хуков

Код

deploy_cert()

2)
У меня стоит каждый час

Код

0 1 * * * /opt/le/letsencrypt/dehydrated --cron --hook /opt/le/letsencrypt/hook.sh > /dev/null 2>&1

По идее, если срок действия сертификата подходит к концу, он должен обновить в любом случае за какой-то там период времени. Но точно не знаю, не проверял этот момент.

...

Рейтинг:

0 / 0

25.06.2019, 20:49

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1325945

Программизд 02

Администратор

Откуда: Дедореализм щекочет ваши коконы

Сообщения: 160 687

Рейтинг: 19115 / 966

Гидроцефалы всех стран соединяйтесь!

Понятно. Т.е. если сертификатов много и истекают они в разное время то можно выполнять крон каждый день или даже час.

А хук позволит перезапукать апач толькоттогда когда сертификат действительно обновился. А если нет, то перезапуска не будет.

Так?

...

Рейтинг:

0 / 0

25.06.2019, 20:53

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1325953

Программизд 02

Администратор

Откуда: Дедореализм щекочет ваши коконы

Сообщения: 160 687

Рейтинг: 19115 / 966

Гидроцефалы всех стран соединяйтесь!

В параметрах есть переменная days. Скрипт по ней ориентируется или дату истечения из сертификата учитывает?

Вот lets encrypt 3 месяца работает. И я не хочу чтобы даже секунды сертификат истекшим не был. Мне выставить days на 88 дней. Когда сработает старый сертификат обновится? Или скажет о он еще валиден. Ничего не делаю.

...

Рейтинг:

0 / 0

25.06.2019, 20:57

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1325966

basename

Участник

Откуда: Из браузера

Сообщения: 43 622

Рейтинг: 2180 / 161

Программизд 02 25.06.2019, 20:53

1325945

да, если новый сертификат, он тебе его скачает и на стадии deploy, как в примере, далее копирует сертификат в нужное тебе место, к которому у тебя прописан путь в конфиге и выполняется apache reload, не restart (это перечитывает конфиг и сертификат, не останавливая сам процесс апача)

...

Рейтинг:

0 / 0

25.06.2019, 21:02

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1325986

basename

Участник

Откуда: Из браузера

Сообщения: 43 622

Рейтинг: 2180 / 161

Программизд 02 25.06.2019, 20:57

1325953

Этот?

Код

1.
2.

# Minimum days before expiration to automatically renew certificate (default: 30)
#RENEW_DAYS="30"

я этот параметр не трогал, но в этом и один из смыслов скрипта, обновить до истечения срока

В любом случае ты можешь поэксперементировать, выставив да для понимания несколько раз, там вроде до 10 раз можно повыписывать сертификаты за одни сутки. Потом могут прибанить

...

Рейтинг:

0 / 0

25.06.2019, 21:08

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1326005

basename

Участник

Откуда: Из браузера

Сообщения: 43 622

Рейтинг: 2180 / 161

Программизд 02

в статье на хабре говорится о тестовом СA, на котором можно поэксперементировать, чтобы не побанили

https://habr.com/ru/post/304174/

Цитата

CA — какой удостоверяющий центр использовать. Их, как минимум два — боевой (по умолчанию) и тестовый. Дело в том, что у боевого есть разные ограничения по частоте запросов и количеству доменов. В эти ограничения легко упереться при тестировании. Поэтому я рекомендую для тестовых запусков указать тестовый центр. Он работает так же, как боевой, просто генерирует невалидные сертификаты.
Вот тестовый CA:
CA="https://acme-staging.api.letsencrypt.org/directory"

но с учётом, что статья на хабре не новая, тестовый мог и поменяться

...

Изменено: 25.06.2019, 21:14 - basename

Рейтинг:

0 / 0

25.06.2019, 21:14

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1326021

Программизд 02

Администратор

Откуда: Дедореализм щекочет ваши коконы

Сообщения: 160 687

Рейтинг: 19115 / 966

Гидроцефалы всех стран соединяйтесь!

basename 25.06.2019, 21:08

1325986

Потом могут прибанить

Навсегда?

...

Рейтинг:

0 / 0

25.06.2019, 21:19

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1326026

Программизд 02

Администратор

Откуда: Дедореализм щекочет ваши коконы

Сообщения: 160 687

Рейтинг: 19115 / 966

Гидроцефалы всех стран соединяйтесь!

Ок. Покспериментирую. Пока не понятно на основе чего он решает обновлять ли сертификат. По этой переменной или обновляет когда уже сертификат истек. Последнее было бы неайс. Надеюсь что они ориентируются по перемееной.

...

Рейтинг:

0 / 0

25.06.2019, 21:21

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1326072

basename

Участник

Откуда: Из браузера

Сообщения: 43 622

Рейтинг: 2180 / 161

Программизд 02 25.06.2019, 21:19

1326021

basename 25.06.2019, 21:08

1325986

Потом могут прибанить

Навсегда?

вот документация на сайте le по ограничениям

https://letsencrypt.org/docs/rate-limits/

...

Рейтинг:

0 / 0

25.06.2019, 21:39

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1326078

basename

Участник

Откуда: Из браузера

Сообщения: 43 622

Рейтинг: 2180 / 161

Программизд 02 25.06.2019, 21:21

1326026

в его рабочей директории есть куча всяких служебных файлов, скорее всего, ориентируясь на этот параметр он смотрит уже выданный сертификат, который в его служебной директории, (ну это тот же, который ты можешь скопировать куда тебе надо) смотрит на дату окончания срока и запрашивает генерацию нового.

...

Рейтинг:

0 / 0

25.06.2019, 21:42

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1326146

Программизд 02

Администратор

Откуда: Дедореализм щекочет ваши коконы

Сообщения: 160 687

Рейтинг: 19115 / 966

Гидроцефалы всех стран соединяйтесь!

Ну мне нужно чтобы сертификат уже обновлялся скажем за 2 до истечения. Чтобы если что то пошло не так, у меня было время отреагировать. А не так чтобы обновлялся когда истек, и новый не сработал, астраый уже не действителен.

...

Рейтинг:

0 / 0

25.06.2019, 22:03

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1326153

Программизд 02

Администратор

Откуда: Дедореализм щекочет ваши коконы

Сообщения: 160 687

Рейтинг: 19115 / 966

Гидроцефалы всех стран соединяйтесь!

basename

Нашел

Файл /usr/local/etc/dehydrate/config можно оставить по-умолчанию, но я вместо используемого по-умолчанию и закоментированного параметра #RENEW_DAYS="30" установил RENEW_DAYS="7". Данный параметр проверяет дату устаревания сертификата. Если он менее 7 дней — то обновит сертификат, если больше — то ничего делать не будет. А так как сертификаты выдаются на 3 месяца — то неделя до истечения — вполне нормальный срок.

https://www.netss.by/?p=10

...

Рейтинг:

0 / 0

25.06.2019, 22:04

| Цитировать для копирования

Автоматизация выдачи сертификатов при помощи letsencrypt.

#1327674

Программизд 02

Администратор

Откуда: Дедореализм щекочет ваши коконы

Сообщения: 160 687

Рейтинг: 19115 / 966

Гидроцефалы всех стран соединяйтесь!

Разобрался, настроил.

Теперь четко, за 2 дня до итечения должен обновить, перегрузить конфиг апача и послать мне мейл об успешном обновлении. В случае ошибок пошлет мейл с уведомлением об ошибке.

Спасибо!

...

Рейтинг:

0 / 0

26.06.2019, 12:51

| Цитировать для копирования

25 сообщений из 50, страница 2 из 2

все

Форумы / Вопросы по IT / Автоматизация выдачи сертификатов при помощи letsencrypt.

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Отправка сообщений невозможна. Либо форум либо тема закрыты, либо вы заблокированы!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 3,0 МБ, аудио/видео: 40,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=2&gotonew=1&tid=30499]:	0ms
get settings:	10ms
get forum list:	12ms
check forum access:	4ms
check topic access:	4ms
track hit:	29ms
get topic data:	12ms
get first new msg:	7ms
get forum data:	2ms
get page messages:	177ms
get tp. blocked users:	2ms
others:	14ms

total:	273ms