9

Let's Encrypt

Let's Encrypt on (tai on pian) ilmainen, automaattinen, turvallinen, avoin yms. palvelu sertifikaattien allekirjoittamieen, eli nk. Certificate Authority.

En ole perehtynyt sen toimintaan syvällisemmin, mutta käsittääkseni siihen kuuluu omalla domainilla ajettava ohjelma, joka automaattisesti ottaa yhteyttä Let's Encryptin palvelimiin, vastaa sen antamiin haasteisiin, joiden perusteella domainen hallinta varmennetaan, ja vielä lopuksi asentaa sertifikaatin paikalleen. Tämän lisäksi sitä kaiketi pystyy jotenkin käyttämään manuaalisesti, jolloin eri vaiheet voi suorittaa erikseen ja/tai tekemään toimenpiteet käsin.

Kysymys nyt kuuluisikin, onkohan sitä mahdollista käyttää Kapsilla olevan oman domainin sertifikaatin hankkimisen a) helposti, b) vaikeasti vai c) ollenkaan? Onko joku jo ehtinyt tätä tutkia?

Tuolla b-kohdalla viittaan esim. tuohon manuaaliseen tapaan. Nythän Kapsin ylläpito asentaa sertifikaatin paikalleen, ja olin jostain lukevinani, että sertifikaatin voimassaoloaika olisi suhteellisen lyhyt (3 kk?). Tuleeko siitä kovasti tuskaa, jos joutuu vähän väliä tekemään tiketin ylläpidolle sertifikaatin vaihtamiseksi.

tsk's avatar
1.3k
tsk
asked 2015-10-21 01:41:13 +0200
edit flag offensive 0 remove flag close merge delete

Comments

Ainakin beta-vaiheessa heillä on melkoisen tiukat [rajoitukset](https://community.letsencrypt.org/t/beta-program-announcements/1631) päällä. Samasta ip-osoitteesta pystyy tekemään vain kaksi rekisteröintiä/viikko. Lisäksi on domain-kohtainen rajoitus, mutta tämä tuksin tulee ongelmaksi. Luultavasti nämä rajoitukset lieventyvät siirryttäessä julkiseen palveluun, mutta en tiedä lieventyvätkö tarpeeksi kapsin tapauksessa.

haaja's avatar haaja (2015-10-21 18:44:27 +0200) edit

Nyt kun public beta alkoi, niin rate limittiä höllennettiin https://community.letsencrypt.org/t/public-beta-rate-limits/4772 Tosin rootinha tuo systeemi tarvis. Olis hieno jos sais Kapsilla toimimaan.

mikaels's avatar mikaels (2015-12-04 06:38:06 +0200) edit

Voiskos joku tutkia miten saadaan acme_tinylla otettua käyttöön tämä uusi wildcard certti? https://community.letsencrypt.org/t/acme-v2-and-wildcard-certificate-support-is-live/55579

tommis's avatar tommis (2018-03-13 23:28:14 +0200) edit

https://github.com/diafygi/acme-tiny/issues/195#issuecomment-372097617 Kehittäjä sanoi ettei aio lisätä wildcard tukea vaikka acmev2 lisääkin.

tommis's avatar tommis (2018-03-14 01:16:15 +0200) edit
add a comment see more comments

20 Answers

0

Tietääkö joku miten tuon saa toimimaan Mumblessa sertifikaattina? Kokeilin tuolla acme-tinylla saatuja server.key ja server.crt murmur.inissä, mutta SSL erroria pukkaa yhdistettäessä.

Edit. getssl scriptillä (löytyy langasta) sain tämän tehtyä, mutta vaati dns -tarjoajan vaihtamista cloudflarelle, jotta pystyi tekemään tuon domain omistuksen vahvistuksen dns challengen kautta.

mikaels's avatar
31
mikaels
answered 2017-10-25 18:02:27 +0200, updated 2017-10-30 06:36:56 +0200
edit flag offensive 0 remove flag delete link

Comments

add a comment see more comments
0

Itse olen tehnyt acme.sh pohjautuvan skriptin, koska olmarin skripti on mielestäni vaikeampi asentaa.

Linkki: https://gist.github.com/theel0ja/a0fdeb…

eliaso's avatar
31
eliaso
answered 2018-07-07 04:00:46 +0200
edit flag offensive 0 remove flag delete link

Comments

add a comment see more comments
0

Minä sain toimimaan ensimmäisen kerran. Mutta nyt sertifikaatin uusimisen jälkeen se tarjoaa edelleen sitä vanhaa sertifikaattia (ja selain herjaa). Olen odottanut jo kaksi vuorokautta... Restartataanko apache varmasti kerran vuorokaudessa?

sazius's avatar
157
sazius
answered 2017-08-12 00:37:33 +0200
edit flag offensive 0 remove flag delete link

Comments

add a comment see more comments
0

PÄIVITYS 15.11.2017: Acme-tinyyn on tullut päivitys joka lataa aina kulloisetkin lisenssiehdot automaatisesti kovakoodauksen sijaan, joten ne joilla on jo Acme-tiny niin päivittäkää se komennolla "git pull" kansiossa johon latasitte acme-tinyn.

olmari's avatar
629
olmari
answered 2017-11-15 20:35:08 +0200
edit flag offensive 0 remove flag delete link

Comments

add a comment see more comments
0

Kummallista kyllä mulla alkoi toimimaan https-sivut vaikka en ole vielä pyytänyt mitään tähän liittyvää ylläpidolta. Noiden ohjeiden mukaan vaan ajoin kaikki loitsut eilen ja nyt testasin sivustojani.

Jorma's avatar
394
Jorma
answered 2017-10-19 22:57:06 +0200, updated 2017-10-19 23:02:44 +0200
edit flag offensive 0 remove flag delete link

Comments

add a comment see more comments
0

Kuinkakohan saisin toimimaan Siilossa? Mulla on Siilossa tallessa taloyhtiön hallitukselle jaettuja suuria dokumentteja Nextcloud-ohjelmassa joka on siis asennettu sinne siiloon. Olis turvallisemman tuntuista jos selaimessa olisi lukon kuva kun Nextcloudia selaillaan.

Jorma's avatar
394
Jorma
answered 2017-10-19 23:00:51 +0200
edit flag offensive 0 remove flag delete link

Comments

Hei, ihan samalla tavalla kuin tuossa Olmarin ohjeessa mutta vaihdat vain polkujen tilalle tyyliin ~/siilo/sites/domain.tld

mikaels's avatar mikaels (2017-11-03 21:54:47 +0200) edit
add a comment see more comments
0

Ansiblessa näyttää olevan nykyään moduuli sertifikaatin hakuun. En ole kokeillut (vielä), mutta pistän linkin tänne tiedoksi:

https://docs.ansible.com/ansible/letsencrypt_module.html

tsk's avatar
1.3k
tsk
answered 2017-02-04 13:42:16 +0200
edit flag offensive 0 remove flag delete link

Comments

add a comment see more comments
0

Itse käytin oman domainin sertifikaatin hakemiseen Letsencryptiltä Getssl-skriptiä, jonka sai loppujenlopuksi myös aika pienellä vaivalla toimimaan.

Kohtuu hyvät ohjeet löytyy osoitteesta: https://github.com/srvrco/getssl

Tässä ehkä tärkein muutos on, että poistaa käytöstä Getssl:n ominaisuudet, joihin ei ole oikeusia, kuten palvelimen uudelleenkäynnistyksen. Lisäksi tulee huomioida sertifikaattitiedostojen sijainti:

# Location for all your certs, these can either be on the server (full path name)
# or using ssh /sftp as for the ACL
DOMAIN_CERT_LOCATION="/home/users/tunnus/sites/domain.tld/.ssl/server.crt"
DOMAIN_KEY_LOCATION="/home/users/tunnus/sites/domain.tld/.ssl/server.key"
#DOMAIN_CERT_LOCATION="ssh:server5:/etc/ssl/domain.crt"
#DOMAIN_KEY_LOCATION="ssh:server5:/etc/ssl/domain.key"
CA_CERT_LOCATION="/home/users/tunnus/sites/domain.tld/.ssl/ca.crt"
#CA_CERT_LOCATION="/etc/ssl/chain.crt"
#DOMAIN_CHAIN_LOCATION="" # this is the domain cert and CA cert
#DOMAIN_KEY_CERT_LOCATION="" # this is the domain_key and domain cert
#DOMAIN_PEM_LOCATION="" # this is the domain_key. domain cert and CA cert
samih's avatar
31
samih
answered 2017-01-03 23:19:47 +0200, updated 2017-01-04 23:12:41 +0200
edit flag offensive 0 remove flag delete link

Comments

add a comment see more comments
0

Tarvitseeko https jotain aktivointia?

Jorma's avatar
394
Jorma
answered 2017-10-18 22:41:57 +0200
edit flag offensive 0 remove flag delete link

Comments

DNS ilmeisesti vaatii rukkausta, ainakin olen joutunut sitä pyytämään.

rapularaimo's avatar rapularaimo (2017-10-18 23:00:00 +0200) edit
1

Lisäsin ohjeeni alkuun että https aktivointi pitää pyytää ylläpidolta. Tähän juurisyynä on että jos https "tuki" olisi päällä domainille joka ei tarjoa https-sertifikaattia ja selain sitä pyytää, niin tarjotaan kapsi.fi sertifikaatti ja se ei toki voi toimia. Siksi se pitää erikseen pyytää, mutta kieltämättä nuo "oma domain" ohjeet ei sitä erityisesti selvästi kerro https://www.kapsi.fi/ohjeet/domain.html

olmari's avatar olmari (2017-10-19 19:22:50 +0200) edit

Jos on intoa ja hyvä ajatus, miten tuota domain-ohjetta voisi parantaa, niin muutoksia ohjeeseen voi yrittää tyrkyttää sivun https://github.com/kapsiry/kapsi-verkkosivut kautta.

tsk's avatar tsk (2017-10-26 20:50:04 +0200) edit
add a comment see more comments
0

Mitenköhän saisi tuon siilon https:n toimimaan alidomainin kanssa (päädomain on "normaalipaikassa")?

timppa's avatar
31
timppa
answered 2017-11-22 23:33:58 +0200
edit flag offensive 0 remove flag delete link

Comments

En tiedä onko sitten se kaunein tai oikein tapa, mutta itse tein alidomainille yksittäin nuo samat loitsut mitä ohjeessa on. Ja bashscriptiin samalla tavalla kunhan oikea hakemisto osoitettu Esmes: ~/acme-tiny/acme_tiny.py --account-key ~/account.key --csr ~/sites/ali.domain.net/.ssl/server.csr --acme-dir ~/sites/ali.domain.net/www/.well-known/acme-challenge/ > ~/sites/ali.domain.net/.ssl/server.crt wget https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem -O ~/sites/ali.domain.net/.ssl/ca.crt Siilolla tuo paikka on ~/siilo/sites/ali.domain.fi/.ssl/

mikaels's avatar mikaels (2018-01-02 03:58:02 +0200) edit
add a comment see more comments

Your Answer

Login/Signup to Answer