Re: SSL сертификат на шару.

To: debian-russian@lists.debian.org
Subject: Re: SSL сертификат на шару.
From: Oleksandr Gavenko <gavenkoa@gmail.com>
Date: Sat, 02 Jan 2016 14:49:24 +0200
Message-id: <[🔎] 87k2nscfjf.fsf@gavenkoa.example.com>
References: <[🔎] 874mewdxri.fsf@gavenkoa.example.com> <[🔎] 20160102114654.GA4301@lammetrie.homelinux.org>

On 2016-01-02, Иван Лох wrote:

>>  * для подстверждения собственности домена - требуют на сервере временно
>>    запустить слушателя на порту 80 или 443 - прерывая свои сервисы,
>>    подтверждение - не плохо, но че бы не на другом порту?
>
> Потому, что этот другой порт с вероятностью закрыт файрволом )))
>
Неприятно останавливать на неопределенное время WEB сервер.

Если бы они ложились куда то контекстом.

Например была возможность зарегистирировать CGI обработчик по произвольному
пути в основном сервере.

Я не углублялса конечно и сделал по основной рекомендации офиц. мануала.

В тикетах пишут запускать в контейнере или как:

  --standalone --standalone-supported-challenges http-01 --http-01-port 9999

и перенаправить:

  location /.well-known/acme-challenge {
     proxy_pass http://localhost:1086;
     proxy_set_header Host            $host;
     proxy_set_header X-Forwarded-For $remote_addr;
     proxy_set_header X-Forwarded-Proto https;
  }

Можно перенаправлять iptable, если узнать на каком адресе их долбилка
слушателя.

  https://community.letsencrypt.org/t/le-client-needs-to-bind-to-port-80-which-im-already-using/2739/3
  https://community.letsencrypt.org/t/nginx-docker-setup-for-le/2621/1
  https://github.com/letsencrypt/letsencrypt/issues/542

Не пробовал как оно работает. Апстрим по вопросу выделения произвольного порта
крайне недружелюбен:

  https://github.com/letsencrypt/acme-spec/issues/33

Они сервис-провайдеры, слово за ними, но аргументов не слышат.

>>  * для получения сертификата нужено запускать от root их поделие (для записи в
>>    системные каталоги и забиндить порт ниже 2000)
>>  * поменять пути инсталяции сертификатов крайне сложно, это не библиотека, это
>>    фрейворк
>
> Там есть выбор. Можно просто указать корень веб сервера. Можно сгенерировать файл
> в режиме manual и положить его на сайт в определенное место.

letsencrypt --text --email user@example.com --domains my.com --agree-tos --renew-by-default --manual certonly

Он просит положить файлик по определенному пути на web сервер:

  Make sure your web server displays the following content at
  http://example.com/.well-known/acme-challenge/-wxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxqfbY before continuing:

  -wUxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxbY.8Vb-u7-fvIUeB44_xnoKLi23-n4A2uxxxxxxxxxxj8M

В принципе немного адаптировать настройки web-сервера что бы он раздавал
контент по /.well-known/acme-challenge - не столь сложно.

================================================================

По итогу они хотят проверять через 80 порт только потому что обычно рядовой
пользователь не сможет подкинуть файлы в /srv/www или открыть слушатель на 80

Защита от использования не превилегироваными пользователями их сервиса.

-- 
Best regards!

Reply to:

Follow-Ups:
- Re: SSL сертификат на шару.
  - From: Иван Лох <loh@1917.com>

References:
- SSL сертификат на шару.
  - From: Oleksandr Gavenko <gavenkoa@gmail.com>
- Re: SSL сертификат на шару.
  - From: Иван Лох <loh@1917.com>

Prev by Date: Re: Как включается acl в Debian?
Next by Date: Re: SSL сертификат на шару.
Previous by thread: Re: SSL сертификат на шару.
Next by thread: Re: SSL сертификат на шару.
Index(es):
- Date
- Thread