MalcolmReynolds Nov 6 2015 at 15:18

Let's Encrypt: получение сертификата по шагам

4 min

453K

Cryptography*ASP*

+30

Comments 49

Evengard Nov 6 2015 at 15:25

Блин, я даже не знал что они запустили бету, а где зарегистрироваться?

MalcolmReynolds Nov 6 2015 at 15:27

Здесь

Evengard Nov 6 2015 at 16:18

Спасибо!

Yahweh Nov 6 2015 at 15:50

Сертификат можно получить только на www.example.com/example.com или на other.example.com тоже можно?

MalcolmReynolds Nov 6 2015 at 15:58

Тут есть немного информации, но пока в бете выдали на домен с www и без www (хотя мы запрашивали только на один без www).

Anakros Nov 9 2015 at 22:22

Можно.

Anisotropic Nov 6 2015 at 15:57

90 дней это ограничение для беты, или запустится сервис с таким же ограничением?

MalcolmReynolds Nov 6 2015 at 16:02

Вот тут написали, что на запуске будет тоже 90 дней. Они считают, что администраторы за год могут забыть про сертификат, а настроив автоматизацию один раз можно избавиться от многих проблем.

Anisotropic Nov 7 2015 at 22:06

Ясно. Так и знал, что где-то подвох.

-1

blind_oracle Nov 6 2015 at 16:36

90 дней — не интересно.

WoSign мне выдал на три года без всяких проблем.

А использовать какую-то приблуду на сервере, которая работает под рутом и будет периодически лазить за сертификатом, лазить в конфиг моего веб-сервера для настройки веб-сайта для подтверждения валидности, а затем для подмены сертификата…

Зачем мне это всё? Зачем так сложно?

farcaller Nov 6 2015 at 16:40

Ну, объективно говоря, приблуда на сервере на должна работать от рута, и не должна менять конфиг сервера каждый раз. А смысл как раз в том чтобы настроить раз и забыть.

blind_oracle Nov 6 2015 at 16:50

Лично мне проще раз в три года сходить за сертификатом по напоминалке в календаре, чем такое городить.
Затем уже этот сертификат каким-нибудь Ansible/Puppet/etc раскидать куда надо.

А их клиент (ACME) мне напомнил какой-то продукт для админов локалхоста, которое всё делает за тебя.
Поэтому, хоть инвайт на бету и прислали, пользоваться им пока нормальный срок действия сертификатов не введут не собираюсь пока…

-3

farcaller Nov 6 2015 at 16:53

Мне кажется что LE вообще строго говоря и предназначен для админов локалхоста.

У меня на проде два nginx, и LE'шная схема получения сертификатов действительно несколько попаболь. Пишу вот обвязку на го для мониторинга и самостоятельного перевыпуска, попробую пару доменов все же перенести на LE.

-2

blind_oracle Nov 6 2015 at 20:11

Ну, могли бы и для админов просто добавить какой-нибудь более удобный способ выпустить себе сертификаты. Надеюсь, в будущем это будет доступно.

hryamzik Dec 10 2015 at 22:04

Весь инструментарий уже есть, надо просто один раз подготовить в том же ansible конфиги nginx и крон задачу. =) Да, сперва придется поиграться с командной строкой, а потом уже всё автоматизировать. Выглядит очень разумно, хотя я и не доволен описанием процедуры генерации без автоматических правок конфигов.

wrewolf Nov 6 2015 at 16:51

ну менять конфиг сервера не обязательно как раз, достаточно обновить файлы сертификатов, а это реализуемо от не привелигированного юзера

ivlis Nov 6 2015 at 22:52

У меня вебсервер в докер-контейнере с read-only файловой системой. Так что придётся и контейнер пересобрать и перезапустить его.

hryamzik Dec 10 2015 at 22:01

Надо просто пробросить два каталога на хост систему: один с валидационными файлами, второй с сертификатами.

ValdikSS Nov 6 2015 at 18:39

Вы используете DNSSEC? Как миритесь с еженедельными переподписями зон?

blind_oracle Nov 6 2015 at 20:09

Пользую. Я генерирую ключи (KSK/ZSK) на каждую зону один раз, дальше за меня всё делает BIND автоматом.

UFO just landed and posted this here

Pulse Nov 9 2015 at 12:40

Но есть проблема — сертификаты от Wosign 1 января 2017 SHA-1 станут красными. :(

blind_oracle Nov 9 2015 at 12:48

У меня вся цепочка (кроме корня, который StartCom, но это и не важно) — SHA256, так что никаких проблем.

Pulse Nov 9 2015 at 13:15

А что к корневому это не относится?

blind_oracle Nov 9 2015 at 13:22

Не относится:

SHA-1-based signatures for trusted root certificates are not a problem because TLS clients trust them by their identity, rather than by the signature of their hash.

googleonlinesecurity.blogspot.ca/2014/09/gradually-sunsetting-sha-1.html

pred8or Nov 6 2015 at 16:56

Я бы добавил, что в автоматическом режиме ещё генерируется конфиг для веб-сервера, практически готовый к активации.

После настройки https очевидным было протестировать при помощи Qualys SSL Server Test. Результат меня удивил. A без каких-либо дополнительных телодвижений.

landy Nov 6 2015 at 17:41

И A+ тоже, но с небольшим телодвижением :)
для апача например в виртуальные хосты добавить:

                <IfModule mod_headers.c>
                        Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"
                </IfModule>

ну и включить модуль headers.

UFO just landed and posted this here

grossws Nov 9 2015 at 16:48

Использование secure в куках чуток улучшает ситуацию в данном кейсе.

aivus Nov 10 2015 at 23:18

Когда нужен static.domain.tld — просто создаете еще один сертификат

Gendalph Nov 8 2015 at 01:54

max-age=0 -> редирект куда и как надо -> отдача правильного HSTS (если всё еще на SSL)

UFO just landed and posted this here

Gendalph Nov 8 2015 at 02:04

Этот костыль опробован и работает на основных браузерах и платформах (крутится в продакшене на одном сайте средней популярности).

Lockal Nov 7 2015 at 13:23

А кто-нибудь может подсказать, где IP-адреса регистрирующих машин «will be publicly logged»? Зачем это вообще и что делать пользователям CloudFlare?

istui Nov 7 2015 at 14:23

Для cloudflare можете все равно поставить сертификат, для защиты трафика между вашим сервером и origin pull-сервером (Full SSL — Strict)

Кроме того, cloudflare обслуживает только определенные порты, если ваш сервер нуждается в защите других портов — вам все равно пригодится LE.

Lockal Nov 9 2015 at 00:33

Это понятно. Я про то, что для машин за CloudFlare не допускается утечка IP-адреса. По этому скриншоту из статьи можно предположить, что где-то в интернете в открытом доступе есть пары IP-domain, некоторые из которых раскрывают реальные IP-адреса машин за экранами.

istui Nov 12 2015 at 11:38

Насколько я понял, записывается IP машины, с которой был запрошен сертификат.

Берете любой VPS на пару дней на тест и выходите в этот момент в сеть через него.

la0 Nov 7 2015 at 13:24

7. Скопируйте их на Windows-машину.
8. Теперь пришло время сконвертировать их в родной .pfx формат.
Для этого установим OpenSSL, распакуем его, добавим в эту же папку наши ключи и запустим от имени администратора:

Я бы поменял пункты местами и конвертил бы линуксовым OpenSSL(команды идентичны)

istui Nov 7 2015 at 14:24

как вариант — делать все в cygwin

MalcolmReynolds Nov 7 2015 at 14:58

Спасибо! Действительно, лишний шаг с установкой openssl в Windows. Обновил инструкцию.

izac Dec 25 2015 at 17:35

Могу ли я использовать letsencrypt на коммерческом сайте?

istui Dec 25 2015 at 21:24

в отличие от startssl, да

grumbler66rus Dec 30 2015 at 23:13

Их скрипт работает только в некоторых дистрибутивах GNU/Linux. В частности, в дистрибутивах с RPM требует Yum или DNF.
Это очень большой минус.

sibvic Oct 8 2019 at 17:08

Если у вас сервер на Windows (с поддержкой Razor Views, аналогично и с MVC), то самый простой способ создания правильного ответа:

Для azure я немного по-другму поступил. В app service можной зайти в консоль, а дальше

mkdir ".well-known"

cd ".well-known"

mkdir "acme-challenge"

cd "acme-challenge"

echo ваш_ключ>файл

+ web.config залить туда

Show the best of all time