Llorephie
Проверенные
- Сообщения
- 103
- Реакции
- 151
- Баллы
- 11,045
Доброго времени суток, просматривая апдейты на Arch Linux я заметил пакет Let's Encrypt в community-репозитории, залез на
- а тот и правда вышел в состояние
пару дней назад.
Если коротко о LE - это новый бесплатный Certificate Authority, почти полностью автоматизированный (поддержка nginx очень и очень сырая, а на моих конфигах вообще не взлетит) и подписанный IdenTrust - это к слову о поддержке почти всеми устройствами, ОС и браузерами.
Для Arch он у меня затребовал эти пакеты доустановить:
Проверить сертификаты в действии можно на hello.letsencrypt.org (официально) или на files.llorephie.org (сгенерирован пару дней назад. Как-никак в ЗБТ был, грех было файлопомойку не повесить). Максимальный рейтинг SSL Labs .
Пример выдачи сертификата для какого-нибудь сайта... Например... Хостящемуся у меня сайту-визитке, рекламировать там нечего, повесят меня вряд-ли, владелец не против. Метод аутентификации - webroot, ибо с моим вебсервером автонастройка не дружит.
Монтируем корневой каталог сайта:
И да, allow-other ключ при монтировании по ssh указывать требуется, ибо по умолчанию gvfs запрещает вообще любым пользователям доступ к директории смотнтированной. Сам ACME-клиент работает от root.
Ну и делаем запрос в CA на получение сертификата:
По умолчанию генерируется ключ размером 2048 бит, я немного параноик.
Процедура получения и подписания сертификата занимает не больше 10 секунд, по окончании получаем такое сообщение:
Осталось только установить.
Особо внимательные люди смолги разглядеть дату окончания действия сертификата - через 90 дней. Да, Let's Encrypt выдаёт сертификаты максимум на 90 дней с момента выдачи, и расширять не планирует - наоборот, будут идти к тому, чтобы с расширением возможностей автоматизации время жизни сертификата сокращалось (90 -> 60 -> 45). Искать в лентах сейчас откровенно говоря лень, на Хабре вроде это освещалось.
Иии... Ставим.
Да, ключ по умолчанию расшифрован. И, судя по man'у нет возможности по умолчанию его шифровать. Да и нужно оно на вебсерверах?
Применяем и проверяем :)
Ругань на OSCP - это у меня самоподписанный сертификат крутится, не обращаем внимания.
До применения
Применилось. Работает. Валидно. ЩАСТЬЕ.
Подводные камни: нет поддержки , , ну и по мелочи для beta-статуса, никаких EV, wildcard - руками.
Кстати о фишинге и прочих прелестях с зелёным замочком - цель проекта - предоставить бесплатное шифрование всем вебсайтам без исключения. Проверять же критичные сайты - шлюзы банковские, платёжные системы - для этого EV и придумывали. А платные Class 1 и Class 2 сертификаты мертвы, да. Халяву в массы.
Если коротко о LE - это новый бесплатный Certificate Authority, почти полностью автоматизированный (поддержка nginx очень и очень сырая, а на моих конфигах вообще не взлетит) и подписанный IdenTrust - это к слову о поддержке почти всеми устройствами, ОС и браузерами.
Для Arch он у меня затребовал эти пакеты доустановить:
Проверить сертификаты в действии можно на hello.letsencrypt.org (официально) или на files.llorephie.org (сгенерирован пару дней назад. Как-никак в ЗБТ был, грех было файлопомойку не повесить). Максимальный рейтинг SSL Labs .
Пример выдачи сертификата для какого-нибудь сайта... Например... Хостящемуся у меня сайту-визитке, рекламировать там нечего, повесят меня вряд-ли, владелец не против. Метод аутентификации - webroot, ибо с моим вебсервером автонастройка не дружит.
Монтируем корневой каталог сайта:
И да, allow-other ключ при монтировании по ssh указывать требуется, ибо по умолчанию gvfs запрещает вообще любым пользователям доступ к директории смотнтированной. Сам ACME-клиент работает от root.
Ну и делаем запрос в CA на получение сертификата:
По умолчанию генерируется ключ размером 2048 бит, я немного параноик.
Процедура получения и подписания сертификата занимает не больше 10 секунд, по окончании получаем такое сообщение:
Осталось только установить.
Особо внимательные люди смолги разглядеть дату окончания действия сертификата - через 90 дней. Да, Let's Encrypt выдаёт сертификаты максимум на 90 дней с момента выдачи, и расширять не планирует - наоборот, будут идти к тому, чтобы с расширением возможностей автоматизации время жизни сертификата сокращалось (90 -> 60 -> 45). Искать в лентах сейчас откровенно говоря лень, на Хабре вроде это освещалось.
Иии... Ставим.
Да, ключ по умолчанию расшифрован. И, судя по man'у нет возможности по умолчанию его шифровать. Да и нужно оно на вебсерверах?
Применяем и проверяем :)
Ругань на OSCP - это у меня самоподписанный сертификат крутится, не обращаем внимания.
До применения
Применилось. Работает. Валидно. ЩАСТЬЕ.
Подводные камни: нет поддержки , , ну и по мелочи для beta-статуса, никаких EV, wildcard - руками.
Кстати о фишинге и прочих прелестях с зелёным замочком - цель проекта - предоставить бесплатное шифрование всем вебсайтам без исключения. Проверять же критичные сайты - шлюзы банковские, платёжные системы - для этого EV и придумывали. А платные Class 1 и Class 2 сертификаты мертвы, да. Халяву в массы.
