Odpověď na názor
Odpovídáte na názor k článku Centralizovaná automatizace certifikátů pomocí nástroje uacme. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
Ondřej CaletkaZlatý podporovatelJá zrovna řeším v myšlenkovém experimentu, jak vydávat a obnovovat certifikáty na DNS resolverech v clusteru za load balancerem, které navíc potřebují certifikát pro IP adresu, takže ověření pomocí DNS nebude možné použít.
Dospěl jsem k závěru, že nejrobustnější bude, když si každý server v clusteru bude udržovat jen svůj vlastní certifikát. Zbývá ale vyřešit, jak provádě důkaz držení adresy pomocí http-01, když ověřovací dotaz autority může být load balancerem poslán na libovolný server.
Nejlepší řešení asi spočívá ve sdílení klíče účtu pro ACME a použítí bezestavového ověření pomocí http-01, které využívá faktu, že soubor, kterým se držení webserveru ověřuje, obsahuje jen statický hash veřejného klíče pro ACME a následně náhodnou nonci, která je ale shodná se jménem souboru. Pro jeden konkrétní klíč pro ACME se tedy dá v konfiguraci webserveru vyrobit bianco šek, potvrzující pozitivně jakékoli výzvy o které takový klíč požádal. Tím pádem bude jedno, když výzvu pro ověření sdílené adresy dostane úplně jiný server než ten, který o vystavení žádal. Jediné omezení je, že klíč pro ACME musí být sdílený.
