Vlákno názorů k článku Let's Encrypt otevřel bránu: ve veřejné betě může mít certifikát každý od pressplayontape - .. je to cele zabite tim, ze 1. nevydavaji...
-
pressplayontape (neregistrovaný)
.. je to cele zabite tim, ze
1. nevydavaji wildcard certifikaty (ale to bych jeste prekousl)
2. certifikat vydavaji JEN na 3 mesice, resp. 90 dni. S mnozstvim domen a subdomen, ktere nemam JEN pro web, ale pro spoustu jinych sluzeb a musim rucne certifikaty kopirovat z letsencrypt adresare jinam (napr. pro Prosody apod nejde pouzit letsencrypt symlink na aktualni certifikat), se mi to opravdu kazde 3 mesice nebude chtit delat. -
pressplayontape (neregistrovaný)
Ja tomu rozumim a v pripade web serveru mi to ted jiz funguje.
Problem je, ze certifikat pouzivam na spoustu dalsich sluzeb u kterych to proste zautomatizovat nejde. Takze je pro me snazsi vygenerovat si certifikat na 1 rok napr. u Startssl, kde je take zdarma, nez kazde 3 mesice (a v budoucnu jeste mene) marne vzpominat, co jeste mam udelat proto, aby vse fungovalo. -
Filip JirsákStříbrný podporovatelproste zautomatizovat nejde
Nejde to proto, že to software zatím neumí, a s LE bude tlak na to ho to naučit? Nebo je tam nějaký principiální problém? -
pressplayontape (neregistrovaný)
V okamziku, kdy potrebujete mit jeden certifikat na vice strojich, proces s pomoci LE zautomatizovat nejde. Do jiste miry to jde zautomatizovat v ramci jednoho serveru (i kdyz si LE pojmenovava certifikaty podle zatim nekolikrat meneneho klice, ke kteremu se dostava pomoci symlinku).
-
Filip JirsákStříbrný podporovatel
Proč by to nešlo zautomatizovat? Jedna aplikace vyřídí obnovu certifikátu a rozdistribuuje ho na všechny servery.
i kdyz si LE pojmenovava certifikaty
To asi myslíte toho jejich klienta. Ale ACME protokol je otevřený a můžete si udělat klienta, který bude fungovat podle vašich představ. -
Jenda (neregistrovaný)
Je možné, že uvedené Prosody to opravdu neumí načíst z jiného adresáře. Nakonec to ale stejně skončí tím, že administrátor udělá "cp" - a to se může napsat do skriptu.
Na druhou stranu restart Jabber serveru každé dva měsíce už je trošku vidět (uživatelům to nejspíš zavře a znova otevře konverzace, nevím, jestli to umí držet spojení se starým certifikátem, ale pro nové už používat nový).
-
joiuda (neregistrovaný)
Tak ja jsem dneska pozitivni, ten klient me velmi mile prekvapil (pravda, stahuje mraky balastu, ale pouziva ho jen sam pro sebe a necpe ho do systemu), trochu skoda je tech max. 6 certu na domenu.
A kopirovani mraku certu? Nevim, crond + bash si s tim neporadi?
Na slozitejsi veci kam to automaticky narvat nejde (treba cert pro mailovou applianci) prece staci komercni certifikat, v cene hluboce pod 1% ceny te appliance.
-
pressplayontape (neregistrovaný)
mrknete na alternativni klienty:
https://github.com/kuba/simp_le/
https://github.com/diafygi/letsencrypt-nosudojsou mnohem transparentnejsi ve smyslu ze vidim, co delaji a kam si sahaji.
Ten prvni je dokonce od spolutvurce klienta oficialniho, kteremu se ta neprehlednost trochu prestala libit. -
vitro (neregistrovaný)
Nebo ještě jeden z nedávno zveřejněných: https://github.com/diafygi/acme-tiny
