Let's encrypt ssl tanusítvány megújítás

Szerverek

Üdv!
A tanusítványt hogyan újítjátok meg?
A generálás: ./letsencrypt-auto --apache -d mydomain.ltd

Ezzel lehet megújítani is a tanusítványt?

  • 2686 megtekintés

Ha jól látom nálam 0.22 verzió van, remélem ugyanarról beszélünk (márciusban töltöttem le). :)
Szóval nálam nincs letsencrypt script/bináris, csak a "letsencrypt-auto" - a renew opció nem használható.

(OS: CentOS 6.9)

Ez kellene?
https://certbot.eff.org/lets-encrypt/centos6-apache

update:
Igen, a link ok. Működik! Köszönöm!!

certbot-auto renew

( dotnetlinux | 2020. 03. 03., k – 22:20 )

Sziasztok!

Gondoltam nem nyitok új topic-ot, inkább ide láncolom be. Most kaptam (RackForest-től), érdekes lehet. 2.6%-nyi tanúsítvány érintett, de ez is több mint 3millió darab.

A Let's Encrypt 2020 Március 4-én várhatóan 0:00 UTC, magyar idő szerint éjjel 1:00 órától több kiadott SSL tanusítványt vissza fog vonni egy CAA ellenőrzési hiba miatt, mely lehetséges hogy érintheti az Ön szolgáltatásait is. Amennyiben Ön nem használ Let's Encrypt SSL tanusítványokat nincsen további teendője, ellenkező esetben viszont kérjük hogy ellenőrizze hogy az Ön SSL tanusítványa érintett-e a visszavonásban, és amennyiben érintett, sürgősen újítsa meg. További információk az esetről a Let's Encrypt hivatalos oldalán találhatóak:

https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591

https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864

A domain neveket és az SSL tanusítványokat az alábbi oldalon is le lehet ellenőrizni:

https://checkhost.unboundtest.com/

Ha jól értem, csak azok a tanúsítványok érintettek, ahol

  • UCC tanúsítvány (egynél több subjectAltName van benne),
  • van CAA rekord a DNS-ben,
  • a domain validálás és a tanúsítvány tényleges kiadása között több óra (8?) eltelt.

Ezek alapján, én gyanúsan nagynak tartom az érintett tanúsítványok számát. Ha valaki certbotot használ, milyen tényállás miatt telik el több óra a domain validálás és a tanúsítványkiadás között?

Elsőre nekem is sok volt benne a CAA és a dns, aztán beugrott: van egy DNS alapú módja a tanusítvány kiadásnak (certbot helyett), amikor is "valamikor" csekkolják, többször hogy él-e a DNS-ek között a CAA. Szerintem ebben a challenge módban lehet(ett) a hiba, nem a certbot-osban.

https://letsencrypt.org/docs/challenge-types/ 

Köszi, hogy felhívtad erre a figyelmet!

Én úgy értelmezem, hogy a domain validálás során, és a tanúsítvány kiadása előtt közvetlenül is ellenőrzik a CAA rekordot, és csak akkor adják ki a tanúsítványt, ha a CAA rekord nem tiltja a Let's Encrypt tanúsítványkiadót. Ez független attól, hogy maga a domain tulajdonjog validáció egyébként HTTP vagy DNS alapon történik.

Van egy (szerver oldalon futó) puppet function ami kb a kövekező módon hívja a certbot-ot:

cmd = "certbot certonly --non-interactive --agree-tos --email #{config['email']} \
--config-dir #{config['letsencryptconfigdir']} \
--logs-dir #{config['letsencryptconfigdir']}/logs \
--work-dir #{config['letsencryptconfigdir']}/tmp \
--standalone --http-01-port 8281 --preferred-challenges http-01 \
--cert-name #{cn} " << config['domains'].map{|domain| "-d " << domain }.join(' ')

Így a `$letsencryptconfigdir` alá kerül minden, amiból aztán tud olvasni a puppet. A node-okra nincs kiküldve semmi; amint a certbot ebből a functionből elindul, a HTTP challenge bejön a domainre, valamelyk edge load balancerre beesik, az átproxyzza ide a puppetmaster :8281 portjára (ahol még mindig fut a certbot) és a certbot már írja is ki a certet. Ez így kb 5 másodperc. Ha a cert már létezik, akkor ez a function nem futtatja a certbotot, a megújítás már simán napi cronjob-ból megy. Igazából ezt a function-t ki is lehet hagyni ha neked elég hogy az új certet egyszer kézzel kikéred, aztán a puppet csak teríti, a cronjob pedig megújítgatja.

Leegyszerűsítve ennyi. Igazából Puppet sem kell, akár ssh-val is lehetne automatikusan teríteni. Az egészben annyi a trükk, hogy a certbot mindig ugyanazon az 1db gépen fusson le és a challenge legyen oda becsatornázva. DNS-nél ez adottság, HTTP-nél pedig proxy-val megoldható.

Aham, na ezt akartam elkerülni, hogy mindig fusson és foglalkoznom kelljen a domain-ek egy bizonyos részének a forward dolgaival.

Igazából ezt a function-t ki is lehet hagyni ha neked elég hogy az új certet egyszer kézzel kikéred, aztán a puppet csak teríti, a cronjob pedig megújítgatja.

Mintha megújításnál is lenne szopás, de megnézem nemsokára.

https://iotguru.cloud

Hmm, akkor maradjon az eredeti felállás. Ne legyenek slave-ek a DNS szolgáltatok amiket használsz, akkor megmarad a geoip és a health check alapú LB etc.

Akkor viszont csinálni kell egy CNAME-et az ACME challenge-re és ez a CNAME mutasson az átalad üzemeltett DNS szerver egy TXT rekordjára, ami egy tök másik domainban is lehet és ezt a rekordot updatelgeted.

Magyarul felveszel statikusan a domainjeidbe minden validációra egy

_acme-challenge.www.example.com CNAME www.example.com.validationserver.example.net

rekordot.

Lásd:

https://community.letsencrypt.org/t/renew-using-dns-01-challenge/53498/8

https://letsencrypt.org/2019/10/09/onboarding-your-customers-with-lets-…

( p2pking | 2020. 03. 04., sze – 13:26 )

Nekem nem mukodott az ellenorzes. Igy maradtam a ujjitsuk meg az osszeset azert van certbot. Kesz. Foloslegesen pazaroltam idot a miert nem megy az ellenorzes reszre.

Every single person is a fool, insane, a failure, or a bad person to at least ten people.

( igor | 2020. 03. 04., sze – 16:04 )

Nalam Traefik van elotte, az intezi maganak TLS-ALPN-01 challenge vagy DNS-01 challenge hasznalataval, ha wildcard.