lets encrypt certificaten
Hallo,
Ik gebruik inmiddels alweer jaren de certificaten van Lets Encrypt voor
vanalles en nog wat. Heel erg geweldig.
Doe dat altijd al met de client https://github.com/Neilpang/acme.sh Echt
super: zeer lightweight, helemaal in bash. Ik gebruik daarbij
afhankelijk van de machine de 'apache mode' of de 'standalone mode'.
Let Encrypt kent ook een DNS validation mode.
Het bezwaar van de (eigenlijk veel mooiere) DNS validation mode vond ik
dat je daarvoor een API key van je DNS op alle Lets Encrypt clients
moest zetten. Waarmee in geval van een compromised server ook direct je
hele DNS compromised was.
Anyway. Ik heb afgelopen dagen het volgende project ontdekt:
https://github.com/joohoi/acme-dns
Hiermee is dat hele probleem in een keer opgelost. Je maakt een
sub-zone, die je alleen voor Lets Encrypt validaties gebruikt, en
gebruikt *NIET* je hoofdzone/DNS server, en je maakt een specifieke API
username/password aan PER server waarop je Lets Encrypt certificaten wil
gebruiken.
Ik kende acme-dns nog niet en ben het direct gaan gebruiken. Grote fan,
misschien hebben jullie er ook iets aan. Misschien ook niet, in dat
geval: gooi deze mail vooral weg. :-)
Groetjes!
MJ
Reply to: