9

Let's Encrypt

Let's Encrypt on (tai on pian) ilmainen, automaattinen, turvallinen, avoin yms. palvelu sertifikaattien allekirjoittamieen, eli nk. Certificate Authority.

En ole perehtynyt sen toimintaan syvällisemmin, mutta käsittääkseni siihen kuuluu omalla domainilla ajettava ohjelma, joka automaattisesti ottaa yhteyttä Let's Encryptin palvelimiin, vastaa sen antamiin haasteisiin, joiden perusteella domainen hallinta varmennetaan, ja vielä lopuksi asentaa sertifikaatin paikalleen. Tämän lisäksi sitä kaiketi pystyy jotenkin käyttämään manuaalisesti, jolloin eri vaiheet voi suorittaa erikseen ja/tai tekemään toimenpiteet käsin.

Kysymys nyt kuuluisikin, onkohan sitä mahdollista käyttää Kapsilla olevan oman domainin sertifikaatin hankkimisen a) helposti, b) vaikeasti vai c) ollenkaan? Onko joku jo ehtinyt tätä tutkia?

Tuolla b-kohdalla viittaan esim. tuohon manuaaliseen tapaan. Nythän Kapsin ylläpito asentaa sertifikaatin paikalleen, ja olin jostain lukevinani, että sertifikaatin voimassaoloaika olisi suhteellisen lyhyt (3 kk?). Tuleeko siitä kovasti tuskaa, jos joutuu vähän väliä tekemään tiketin ylläpidolle sertifikaatin vaihtamiseksi.

tsk's avatar
1.3k
tsk
asked 2015-10-21 01:41:13 +0200
edit flag offensive 0 remove flag close merge delete

Comments

Ainakin beta-vaiheessa heillä on melkoisen tiukat [rajoitukset](https://community.letsencrypt.org/t/beta-program-announcements/1631) päällä. Samasta ip-osoitteesta pystyy tekemään vain kaksi rekisteröintiä/viikko. Lisäksi on domain-kohtainen rajoitus, mutta tämä tuksin tulee ongelmaksi. Luultavasti nämä rajoitukset lieventyvät siirryttäessä julkiseen palveluun, mutta en tiedä lieventyvätkö tarpeeksi kapsin tapauksessa.

haaja's avatar haaja (2015-10-21 18:44:27 +0200) edit

Nyt kun public beta alkoi, niin rate limittiä höllennettiin https://community.letsencrypt.org/t/public-beta-rate-limits/4772 Tosin rootinha tuo systeemi tarvis. Olis hieno jos sais Kapsilla toimimaan.

mikaels's avatar mikaels (2015-12-04 06:38:06 +0200) edit

Voiskos joku tutkia miten saadaan acme_tinylla otettua käyttöön tämä uusi wildcard certti? https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-support-is-live/55579

tommis's avatar tommis (2018-03-13 23:28:14 +0200) edit

https://github.com/diafygi/acme-tiny/issues/195#issuecomment-372097617 Kehittäjä sanoi ettei aio lisätä wildcard tukea vaikka acmev2 lisääkin.

tommis's avatar tommis (2018-03-14 01:16:15 +0200) edit
add a comment see more comments

20 Answers

2

Kapsin uusi (kokeellinen, mutta osittain jo tuotannossa) web-backend tukee myös Let's Encrypt sertifikaattien hakua automaattisesti.

Uudet vhostit tehdään jo oletuksena uudelle web-backendille ja sitä kautta saavat automaattiseesti LE-sertifikaatin. Ylläpito voi pyynnöstä migratoida sivuston uudelle backendille jolloin omaa LE-sertifikaatinhakuskriptiä ei tarvitse (enää) :)

daedalus's avatar
283
daedalus
answered 2020-01-31 16:43:10 +0200
edit flag offensive 0 remove flag delete link

Comments

add a comment see more comments
0

Itse olen tehnyt acme.sh pohjautuvan skriptin, koska olmarin skripti on mielestäni vaikeampi asentaa.

Linkki: https://gist.github.com/theel0ja/a0fdeb…

eliaso's avatar
31
eliaso
answered 2018-07-07 04:00:46 +0200
edit flag offensive 0 remove flag delete link

Comments

add a comment see more comments
0

Mitenköhän saisi tuon siilon https:n toimimaan alidomainin kanssa (päädomain on "normaalipaikassa")?

timppa's avatar
31
timppa
answered 2017-11-22 23:33:58 +0200
edit flag offensive 0 remove flag delete link

Comments

En tiedä onko sitten se kaunein tai oikein tapa, mutta itse tein alidomainille yksittäin nuo samat loitsut mitä ohjeessa on. Ja bashscriptiin samalla tavalla kunhan oikea hakemisto osoitettu Esmes: ~/acme-tiny/acme_tiny.py --account-key ~/account.key --csr ~/sites/ali.domain.net/.ssl/server.csr --acme-dir ~/sites/ali.domain.net/www/.well-known/acme-challenge/ > ~/sites/ali.domain.net/.ssl/server.crt wget https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem -O ~/sites/ali.domain.net/.ssl/ca.crt Siilolla tuo paikka on ~/siilo/sites/ali.domain.fi/.ssl/

mikaels's avatar mikaels (2018-01-02 03:58:02 +0200) edit
add a comment see more comments
0

Mielestäni en ole muokannut acme_tiny:ä mitenkään mutta silti vaati käskyn git stash ennen git pull käskyä. Ja ohjelman suoritusoikeus menee myös pois päältä gitt pull:ssa.

rapularaimo's avatar
203
rapularaimo
answered 2017-11-17 11:01:24 +0200, updated 2017-11-17 11:02:15 +0200
edit flag offensive 0 remove flag delete link

Comments

Suoristusoikeudet pitää antaa uudestaan chmod u+x acme-tiny/acme_tiny.py

mikaels's avatar mikaels (2018-01-02 03:53:06 +0200) edit
add a comment see more comments
0

Saman virheen sain minäkin:

kestosippi@lakka:~/acme-tiny$ git pull
remote: Counting objects: 9, done.
remote: Compressing objects: 100% (3/3), done.
remote: Total 9 (delta 6), reused 9 (delta 6), pack-reused 0
Unpacking objects: 100% (9/9), done.
From https://github.com/diafygi/acme-tiny
   7ef9164..4ed1395  master     -> origin/master
   7ef9164..4ed1395  travis-ci  -> origin/travis-ci
Updating 7ef9164..4ed1395
error: Your local changes to the following files would be overwritten by merge:
    acme_tiny.py
Please, commit your changes or stash them before you can merge.
Aborting
Jorma's avatar
394
Jorma
answered 2017-11-15 22:04:35 +0200, updated 2017-11-15 22:05:21 +0200
edit flag offensive 0 remove flag delete link

Comments

add a comment see more comments
0

Saan virheen: " error: Your local changes to the following files would be overwritten by merge: acme_tiny.py Please, commit your changes or stash them before you can merge. Aborting " Mitä tehdä?

Olotila's avatar
31
Olotila
answered 2017-11-15 20:51:30 +0200
edit flag offensive 0 remove flag delete link

Comments

add a comment see more comments
0

Saan virheen " error: Your local changes to the following files would be overwritten by merge: acme_tiny.py Please, commit your changes or stash them before you can merge. Aborting "

Mitä tehdä?

Olotila's avatar
31
Olotila
answered 2017-11-15 20:51:00 +0200
edit flag offensive 0 remove flag delete link

Comments

Git sanoo noin Jos/kun acme_tiny.sh:ta on muokannut käsin, varmaankin sitä "DEFAULT_CA" riviä on joskus muokkailtu. Tähän auttaa esim "git stash" ja sitten se "git pull". Tämä johtuu siis siitä että git seuraa kaikkea muutoksia tiedostoihin mitä on git:illä ladattu, ja tämän jälkeen acme_tiny.sh ei enää stemmaa vähintäin aikaleimaan, joten tulee tuo ilmoitus. Stash piilottaa omat muutokset jolloin pull taas voi toimia.

olmari's avatar olmari (2017-11-16 00:57:30 +0200) edit
add a comment see more comments
0

PÄIVITYS 15.11.2017: Acme-tinyyn on tullut päivitys joka lataa aina kulloisetkin lisenssiehdot automaatisesti kovakoodauksen sijaan, joten ne joilla on jo Acme-tiny niin päivittäkää se komennolla "git pull" kansiossa johon latasitte acme-tinyn.

olmari's avatar
629
olmari
answered 2017-11-15 20:35:08 +0200
edit flag offensive 0 remove flag delete link

Comments

add a comment see more comments
0

http://kestosippi.kapsi.fi/netti/kapsiv…

Onko tässä kyseessä jokin toinen varmennepalvelu kuin LetsEncrypt jota olen yrittänyt käyttää. Operan osoiterivin lukkokuvake näyttää tämän.


Eikös aiemmin riittänyt salaukselle että sivusto on tehty secure-www hakemistoon? Nytkö on käytettävä LetsEncrypt-viritelmiä? Vai olenko käsittänyt koko jutun väärin?

Jorma's avatar
394
Jorma
answered 2017-11-05 11:51:23 +0200, updated 2017-11-05 11:59:28 +0200
edit flag offensive 0 remove flag delete link

Comments

Jorma's avatar Jorma (2017-11-05 11:52:09 +0200) edit

"HTTPS-protokolla on käytössä kaikissa muotoa alidomain.kapsi.fi olevilla verkkosivustoilla." https://www.kapsi.fi/ohjeet/web2.html

mikaels's avatar mikaels (2017-11-05 22:53:36 +0200) edit
1

Lapsilla on käytössä oma varmenne joka on käytössä *.kapsi.fi, eli kattaa myös kestosippi.kapsi.fi Tämä ohje käsittelee omia domainnimiä joita hostataan kapsilla, esimerkiksi olmari.fi

olmari's avatar olmari (2017-11-16 00:51:55 +0200) edit
add a comment see more comments
0

Tietääkö joku miten tuon saa toimimaan Mumblessa sertifikaattina? Kokeilin tuolla acme-tinylla saatuja server.key ja server.crt murmur.inissä, mutta SSL erroria pukkaa yhdistettäessä.

Edit. getssl scriptillä (löytyy langasta) sain tämän tehtyä, mutta vaati dns -tarjoajan vaihtamista cloudflarelle, jotta pystyi tekemään tuon domain omistuksen vahvistuksen dns challengen kautta.

mikaels's avatar
31
mikaels
answered 2017-10-25 18:02:27 +0200, updated 2017-10-30 06:36:56 +0200
edit flag offensive 0 remove flag delete link

Comments

add a comment see more comments

Your Answer

Login/Signup to Answer