MyZoneITteam May 17 2023 at 14:24

Создаем сертификаты Let's Encrypt на MacOS и размещаем их на IIS сервере

Easy

3 min

2.7K

System administration*IIS*DevOps*

From sandbox

Comments 12

roman901 May 17 2023 at 14:29

Т.е.

Let's Encrypt сертификаты специально живут три месяца, чтобы их renew был автоматизирован, а не копировать сертификат ручками на машину каждый раз
Так вы еще и сертификат с приватным ключом скормили какому-то непонятному сервису. Это вообще противоречит всей концепции и делать так ни в коем случае нельзя.

MyZoneITteam May 17 2023 at 15:32

На IIS не нашел возможности автоматизировать, но и здесь скорее я описал вариант именно ручного создания сертификата, как файла. Иногда и такие кейсы есть.

Что касается скармливания стороннему сервису - спасибо за комментарий

roman901 May 17 2023 at 15:35

https://winitpro.ru/index.php/2017/11/03/ustanovka-besplatnogo-ssl-sertifikata-lets-encrypt-na-iis-v-windows-server-2012-r2/ - банально первая же ссылка в гугле по запросу "letsencrypt windows iis".

Если не изменяет память, много лет назад WACS сам использовал, когда на IIS сидел, и оно нормально работало.

MyZoneITteam May 17 2023 at 15:47

Ок, спасибо!

Но опять же, статья именно про ручное создание сертификата и его ручное размещение на IIS

roman901 May 17 2023 at 15:50

Конкретно с LE они у себя на сайте не рекомендуют это.

If your hosting provider doesn’t want to integrate Let’s Encrypt, but does
support uploading custom certificates, you can install Certbot on your own
computer and use it in manual mode.
In manual mode, you upload a specific file to your website to prove your
control. Certbot will then retrieve a certificate that you can upload to your
hosting provider. We don’t recommend this option because it is time-consuming
and you will need to repeat it several times per year as your certificate
expires. For most people it is better to request Let’s Encrypt support from your
hosting provider, or switch providers if they do not plan to implement it.

MyZoneITteam May 17 2023 at 16:06

Ну здесь скорее предупреждение, так как занимает время. Но опять же, задачи бывают разные и настраивать автоматизацию ради, например, промо страницы сроком жизни 1 месяц не имеет смысла.

Angel_of_Sorrow May 17 2023 at 15:09

Сертификат конвертируется локально через openssl. Не надо его кому-то отдавать. Так себе паттерн в статье конечно.

Ждем некоторое время (в моем случае около 15 минут, и за частую срабатывает раза с 3 или 4го, так как тороплюсь)

Так делать не надо - у letsEncrypt есть допустимое количество попыток, потом он отправить вас на сутки отдохнуть.

MyZoneITteam May 17 2023 at 15:35

В описанном кейсе ты генеришь txt запись и скармливаешь ее dns. Попытка только одна. OpenSSL посмотрю - спасибо

ajijiadduh May 17 2023 at 15:21

но полного манула найти не просто

можно попробовать в зоопарке поискать

MyZoneITteam May 17 2023 at 15:33

Конкретно для моего кейса не нашел

aborouhin May 17 2023 at 16:13

В добавление ко всему перечисленному - DNS-зону лучше бы держать если не у себя, то у провайдера, который предоставляет какой-то API, поддерживаемый certbot'ом или acme.sh. Тогда перевыпуск сертификата нормально автоматизируется даже если его реально надо выпускать не на том сервере, на котором используется. Я у себя тоже, скажем, централизованно wildcard-сертификат получаю, а потом уже с помощью ansible он конвертируется в несколько разных форматов (тут да, openssl в помощь) и раскидывается по всем серверам.

amkartashov May 18 2023 at 06:28

Хороший пример статьи, которую не надо было публиковать. Поясню:

Вредный совет: установка LE сертификатов руками
Супервредный совет: приватный ключ отдаётся третьей стороне
Тривиальная задача: на статью не тянет
Тривиальная задача решена без предварительного минимального гуглежа
Тривиальная задача решена через ~~жопу~~ MacOS
И сверху всей этой кучи гордый тег DevOps

Не пиши больше.