Llorephie
Проверенные
- Сообщения
- 103
- Реакции
- 151
- Баллы
- 11,045
Доброго времени суток, просматривая апдейты на Arch Linux я заметил пакет Let's Encrypt в community-репозитории, залез на
Если коротко о LE - это новый бесплатный Certificate Authority, почти полностью автоматизированный (поддержка nginx очень и очень сырая, а на моих конфигах вообще не взлетит) и подписанный IdenTrust - это к слову о поддержке почти всеми устройствами, ОС и браузерами.
Для Arch он у меня затребовал эти пакеты доустановить:
Проверить сертификаты в действии можно на hello.letsencrypt.org (официально) или на files.llorephie.org (сгенерирован пару дней назад. Как-никак в ЗБТ был, грех было файлопомойку не повесить). Максимальный рейтинг SSL Labs
Пример выдачи сертификата для какого-нибудь сайта... Например... Хостящемуся у меня сайту-визитке, рекламировать там нечего, повесят меня вряд-ли, владелец не против. Метод аутентификации - webroot, ибо с моим вебсервером автонастройка не дружит.
Монтируем корневой каталог сайта:
И да, allow-other ключ при монтировании по ssh указывать требуется, ибо по умолчанию gvfs запрещает вообще любым пользователям доступ к директории смотнтированной. Сам ACME-клиент работает от root.
Ну и делаем запрос в CA на получение сертификата:
По умолчанию генерируется ключ размером 2048 бит, я немного параноик.
Процедура получения и подписания сертификата занимает не больше 10 секунд, по окончании получаем такое сообщение:
![Снимок экрана_2015-12-06_10-42-15.png Снимок экрана_2015-12-06_10-42-15.png](https://xenforo.info/data/attachments/44/44752-d34d36b6411a0fc04e227e12fc727f68.jpg)
Осталось только установить.
Особо внимательные люди смолги разглядеть дату окончания действия сертификата - через 90 дней. Да, Let's Encrypt выдаёт сертификаты максимум на 90 дней с момента выдачи, и расширять не планирует - наоборот, будут идти к тому, чтобы с расширением возможностей автоматизации время жизни сертификата сокращалось (90 -> 60 -> 45). Искать в лентах сейчас откровенно говоря лень, на Хабре вроде это освещалось.
Иии... Ставим.
Да, ключ по умолчанию расшифрован. И, судя по man'у нет возможности по умолчанию его шифровать. Да и нужно оно на вебсерверах?
Применяем и проверяем :)
Ругань на OSCP - это у меня самоподписанный сертификат крутится, не обращаем внимания.
![Снимок экрана_2015-12-06_10-53-26.png Снимок экрана_2015-12-06_10-53-26.png](https://xenforo.info/data/attachments/44/44755-7a39d27e71f2b98022a981f3acb8e2b4.jpg)
До применения
Применилось. Работает. Валидно. ЩАСТЬЕ.
Подводные камни: нет поддержки
Кстати о фишинге и прочих прелестях с зелёным замочком - цель проекта - предоставить бесплатное шифрование всем вебсайтам без исключения. Проверять же критичные сайты - шлюзы банковские, платёжные системы - для этого EV и придумывали. А платные Class 1 и Class 2 сертификаты мертвы, да. Халяву в массы.
У Вас недостаточно прав для просмотра ссылок.
Вход или Регистрация
- а тот и правда вышел в состояние
У Вас недостаточно прав для просмотра ссылок.
Вход или Регистрация
пару дней назад.Если коротко о LE - это новый бесплатный Certificate Authority, почти полностью автоматизированный (поддержка nginx очень и очень сырая, а на моих конфигах вообще не взлетит) и подписанный IdenTrust - это к слову о поддержке почти всеми устройствами, ОС и браузерами.
Для Arch он у меня затребовал эти пакеты доустановить:
![Снимок экрана_2015-12-06_10-08-13.png Снимок экрана_2015-12-06_10-08-13.png](https://xenforo.info/data/attachments/44/44749-84540e6cd61bbe29dd4cba69c3d9f71d.jpg)
Проверить сертификаты в действии можно на hello.letsencrypt.org (официально) или на files.llorephie.org (сгенерирован пару дней назад. Как-никак в ЗБТ был, грех было файлопомойку не повесить). Максимальный рейтинг SSL Labs
У Вас недостаточно прав для просмотра ссылок.
Вход или Регистрация
.Пример выдачи сертификата для какого-нибудь сайта... Например... Хостящемуся у меня сайту-визитке, рекламировать там нечего, повесят меня вряд-ли, владелец не против. Метод аутентификации - webroot, ибо с моим вебсервером автонастройка не дружит.
Монтируем корневой каталог сайта:
![Снимок экрана_2015-12-06_10-22-21.png Снимок экрана_2015-12-06_10-22-21.png](https://xenforo.info/data/attachments/44/44750-f2f8acba6c136c5c145f3320c35822dc.jpg)
И да, allow-other ключ при монтировании по ssh указывать требуется, ибо по умолчанию gvfs запрещает вообще любым пользователям доступ к директории смотнтированной. Сам ACME-клиент работает от root.
Ну и делаем запрос в CA на получение сертификата:
![Снимок экрана_2015-12-06_10-25-00.png Снимок экрана_2015-12-06_10-25-00.png](https://xenforo.info/data/attachments/44/44751-b87d67fd79a89bf3657dd27d3d3143af.jpg)
По умолчанию генерируется ключ размером 2048 бит, я немного параноик.
Процедура получения и подписания сертификата занимает не больше 10 секунд, по окончании получаем такое сообщение:
![Снимок экрана_2015-12-06_10-42-15.png Снимок экрана_2015-12-06_10-42-15.png](https://xenforo.info/data/attachments/44/44752-d34d36b6411a0fc04e227e12fc727f68.jpg)
Осталось только установить.
Особо внимательные люди смолги разглядеть дату окончания действия сертификата - через 90 дней. Да, Let's Encrypt выдаёт сертификаты максимум на 90 дней с момента выдачи, и расширять не планирует - наоборот, будут идти к тому, чтобы с расширением возможностей автоматизации время жизни сертификата сокращалось (90 -> 60 -> 45). Искать в лентах сейчас откровенно говоря лень, на Хабре вроде это освещалось.
Иии... Ставим.
![Снимок экрана_2015-12-06_10-47-51.png Снимок экрана_2015-12-06_10-47-51.png](https://xenforo.info/data/attachments/44/44753-196046929c7bf42e663bf8541a394024.jpg)
Да, ключ по умолчанию расшифрован. И, судя по man'у нет возможности по умолчанию его шифровать. Да и нужно оно на вебсерверах?
Применяем и проверяем :)
![Снимок экрана_2015-12-06_10-52-53.png Снимок экрана_2015-12-06_10-52-53.png](https://xenforo.info/data/attachments/44/44754-e7d62a03a187befeb9f5c2de7181b3cc.jpg)
Ругань на OSCP - это у меня самоподписанный сертификат крутится, не обращаем внимания.
![Снимок экрана_2015-12-06_10-53-26.png Снимок экрана_2015-12-06_10-53-26.png](https://xenforo.info/data/attachments/44/44755-7a39d27e71f2b98022a981f3acb8e2b4.jpg)
До применения
![Снимок экрана_2015-12-06_10-54-09.png Снимок экрана_2015-12-06_10-54-09.png](https://xenforo.info/data/attachments/44/44756-69c8faf2836c92b29b92f926db7a4b26.jpg)
Применилось. Работает. Валидно. ЩАСТЬЕ.
Подводные камни: нет поддержки
У Вас недостаточно прав для просмотра ссылок.
Вход или Регистрация
,
У Вас недостаточно прав для просмотра ссылок.
Вход или Регистрация
, ну и по мелочи для beta-статуса, никаких EV, wildcard - руками.Кстати о фишинге и прочих прелестях с зелёным замочком - цель проекта - предоставить бесплатное шифрование всем вебсайтам без исключения. Проверять же критичные сайты - шлюзы банковские, платёжные системы - для этого EV и придумывали. А платные Class 1 и Class 2 сертификаты мертвы, да. Халяву в массы.