Let's Encrypt ve veřejné betě

Na blogu otevřené certifikační autority Let's Encrypt (zprávička) bylo oznámeno, že projekt vstoupil do veřejné bety. V uzavřené betě bylo vydáno přes 26 000 certifikátů. Pro zájemce je k dispozici návod na získání certifikátů a diskusní fórum. Novým zlatým sponzorem Let's Encrypt se stal Facebook.

Komentáře

Používáte to někdo? Já docela uvažuji, že bych to použil pro REST API u nás v práci.

blog.rfox.eu | DREAMLAND

4.12.2015 09:46 Pavel Půlpán | skóre: 22 | Trutnov
Rozbalit Rozbalit vše Re: Let's Encrypt ve veřejné betě

Jo a je to celkem sympatické. Co se týče implementace do vlastních systémů, tak rozhodně žádná hrůza.

An infinite number of monkeys typing into GNU Emacs would never make a good program.

4.12.2015 09:50 Milan Beneš | skóre: 17 | blog: Kraft_durch_Freude
Rozbalit Rozbalit vše Re: Let's Encrypt ve veřejné betě

Včera jsem to nasadil, kvachá to hezky. Užitečný je tento gist: https://gist.github.com/renchap/c093702f06df69ba5cac#file-readme-md. Jen toho klienta je třeba už volat jinak:

./letsencrypt-auto certonly --text --agree-tos --server https://acme-v01.api.letsencrypt.org/directory -a webroot --webroot-path /var/tmp/letsencrypt-auto -d www.domena.cz -d domena --email admin@domena.cz

a pro jistotu i konfigurák nginxu:

location '/.well-known/acme-challenge' {
    default_type "text/plain";
    root        /var/tmp/letsencrypt-auto;
}

4.12.2015 10:54 mirec | skóre: 32 | blog: mirecove_dristy | Poprad
Rozbalit Rozbalit vše Re: Let's Encrypt ve veřejné betě

Ja jednoznačne idem do toho cez víkend. Keby som ešte tak mohol mať k tomu dnssec ...

LinuxOS.sk | USE="-fotak -zbytocnosti -farebne_lcd +vydrz +odolnost +java" emerge telefon

Tak jsem to nasadil na apache2. Spustil jsem jen: ./letsencrypt-auto --apache. Mém případě nastaly ale dva problémy, které jsem vyřešil. Jeden dočasně a druhý trvale. Ten první a docela zásadní pro následné (za max 3 měsíce) generování certifikátu byl ten, že kvůli OpenVPN běžící na portu 443 souběžně s apache2 používám sslh. Takže apache mám lokálně nakonfigurovaný na jiný port. Bohužel změna portu při generování není možná, tak jsem musel vypnout vpnku a sslhd a apache2 přehodit dočasně na port 443. Druhý problém byl ten, že to bere konfigy z rootu sites-available a ty jsme měl v poadresářích (co adresář, to název domény). Musel jsem se tedy této struktury vzdát - to se dá ale zkousnout. Potom vygenerování podpisů a změna konfuguráků proběhla bez problému. Musel jsem jen upravit porty a znovu-zapnout sslh a OpenVPN. A bohužel tohle nevím jak řešit, abych mohl regenerování v budoucnu nějak rozumně zautomatizovat. Viz.: https://github.com/letsencrypt/letsencrypt/issues/341

4.12.2015 12:44 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Let's Encrypt ve veřejné betě

Použij .well-known adresář, kam letsencrypt umístí soubor. Je to jednodušší, než řešit nestandardní konfiguraci serveru.

Hello world ! Segmentation fault (core dumped)

4.12.2015 13:39 Radek Hladik | skóre: 20
Rozbalit Rozbalit vše Re: Let's Encrypt ve veřejné betě

Webroot modul můžu jedině doporučit. Co je pěkné je, že to funguje i s redirectem, takže je možné na jednom serveru dát jen redirect na jiný server, kde se pustí ten klient. Je tak možné mít klienta jen na jednom stroji a všechny certifikáty spravovat pak z jednoho místa.

Jo a ještě jedna věc. Když mám několik virtual hostů, automatika mi vytvoří cert pro jeden (zřejmě náhodný) z nich. Ostatní jsou v Alternative CN. Nenašel jsem tedy možnost výběru, který VH bude v certifikátu "hlavní".

4.12.2015 12:44 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Let's Encrypt ve veřejné betě

Hlavní je ten první.

Hello world ! Segmentation fault (core dumped)

4.12.2015 12:49 Martin
Rozbalit Rozbalit vše Re: Let's Encrypt ve veřejné betě

A proč je první ten, co začíná na "k", když tam mám ještě "f", "a" a "d"? :)

4.12.2015 14:20 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Let's Encrypt ve veřejné betě

První v tom pořadí, ve kterém jsi je uvedl.

Hello world ! Segmentation fault (core dumped)

4.12.2015 17:56 Martin
Rozbalit Rozbalit vše Re: Let's Encrypt ve veřejné betě

Ten automat mi je nabídne sám, nic jsem neuváděl. První je písmeno K. Podle abecedy (ani názvu konfigu vhosta) to není. Tak nevím, kde bere to pořadí.

4.12.2015 18:08 Zopper | skóre: 15
Rozbalit Rozbalit vše Re: Let's Encrypt ve veřejné betě

To mi udělal taky. Napadá mě, že to neřadí abecedně, ale vezme to v raw pořadí v jakém jsou ty soubory odkazované na disku.

"Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2

4.12.2015 20:27 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Let's Encrypt ve veřejné betě

Když domény uvedeš jako parametry na příkazové řádce nebo v configu, tak je to pořadí jasně dané.

Hello world ! Segmentation fault (core dumped)

5.12.2015 01:17 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Let's Encrypt ve veřejné betě

Správné je mít pro každý virtual host samostatný certifikát. Pokud jsou certifikáty zdarma a jejich získávání lze automatizovat, platí to o to více.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

5.12.2015 18:03 Martin
Rozbalit Rozbalit vše Re: Let's Encrypt ve veřejné betě

No když je to správné, tak by se o to měla postarat ta automatická konfigurace, co spouštím. Myslel jsem, že jedna z velkých LetsEncrypt vyhod (krom toho, že cert jsou zdarma) je v jednoduchost generovaní...

5.12.2015 19:29 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Let's Encrypt ve veřejné betě

Však je to teprve beta. Ty věci okolo automatizace nejsou dodělané. Chce to trošku vlastního skriptování ;-)

Hello world ! Segmentation fault (core dumped)