Názory k článku Nástroj acme-dns: pohodlné získávání certifikátu pomocí DNS

2 zaznamy pro kazdou zonu, to je pro mne v kontrastu "snazi delat dobre"

Ale pro jednoduchy veci to asi bude dostacujici. Pro HA sluzby je to stale nedostatecne reseni.

Z meho pohledu jsou certifikaty peklo.

To jsem taky moc nepochopil.. Kdyz budu mit 50 domen a chci pouzivat jednu registraci (=jeden CNAME) pro vsechny, tak se to asi bude vzajemne clashovat co?

Zkusil jsem to ověřit a máte pravdu, současné acme.sh si v kombinaci s acme-dns to nedokáže. acme.sh totiž nejprve vytvoří všechny TXT záznamy a čeká, až se vypropagují. A protože acme.sh nejspíš neumí použít více než jeden acme-dns server, a zároveň je v acme-dns limit na 2 TXT záznamy, tak si acme-dns záznamy přepíše.

Pro cert-manager by mělo stačit použít spoustu malých zón v acme-dns. Nicméně to jsem už nevydržel ověřovat až do konce.

Tohle chování se nám v produkci neprojevilo, protože většinou generujeme oddělené certifikáty pro několik málo common names najednou. Přestože jsou všechny certifikáty pro jednoho zákazníka směřované do jedné zástupné zóny v acme-dns, tak se potom ověřují postupně a na problém s přepisování TXT záznamů jsme nenarazili.

Díky za upřesnění.

Pro HA služby asi není dobrý nápad vyměňovat všechny certifikáty najednou. Takže bych neviděl problém ani s těmi dvěma záznamy. Ale chápu to tak, že jde o řešení pro malé věci. Pokud provozujete HA, asi budete umět vyřešit i získávání certifikátů.

Zprovoznit HA pres obycejnou haproxy apod je mnohem mnohem jednodussi, nez vyresit deploy acme certifikatu na haproxy/backendy, specialne u push metody.

To asi nebude ten problem... Jde o to, ze muzete mit certifikat ve kterem je 10 ruznych altnamu s hvezdickama...

Pro 10 různých jmen ale budu mít 10 různých DNS záznamů.

ano. to znamena 10 ruznych loginu do acme-dns i kdyz vsechny patri jednomu zakaznikovi... fakt super zabava udrzovat kazdymu zakaznikovi nekde sezna vsech tech loginu (pokud certbot vubec umi pouzivat vic loginu v ramci jednoho certifikatu s altnames).

acme.sh ale bere pouze jedno přihlášení do acme-dns, takže všech 10 domén dělá pod stejnými TXT záznamy...

Velmi podobne funguje RFC2136 https://certbot-dns-rfc2136.readthedocs.io/en/stable/ - tiez sa to da kompletne zautomatizovat a funguje to s beznymi DNS servermi (najma bind). Nepotrebujete na to instalovat specialny DNS server.

Ano, o tom jsme měli také samostatný článek, který je odkázán z dnešního textu.

Na acme (https) jsem si udělal pěknou automatizaci, co mi hlídá obnovu certifikátů podle databáze a vytvoří mi soubory buď pro nginx nebo haproxy (hodně pokusů a omylů než přijdete na to, jak je spojit). Úplně bezproblému to není. Občas je aktualizace a když nevíte, proč to nefunguje, tak dostanete snadno ban na x dní. Po delším čase jsem zase zjistil, že záleží na tom, jaké soubory máte už stažené u certifikátu, takže raději mažu celou složku. Protože ani debug vám neřekne, proč se nestáhne key file apod.

23. 6. 2020, 09:58 editováno autorem komentáře

http samozřejmě, už to nešlo editnout

Ja jsem na to udelal jednoduchy skript nad openssh. V authorized_keys je natvrdo u kazdeho klice, ze smi spustit jen tenhle skript a dokonce jsou tam zapeceny i parametry, takze v authorized_keys ma kazdy ssh klic pevne dany i seznam domen, pro ktery muze vystavovat certifikaty.

Jediny hacek je, ze to neni v upstreamu, takze se na kazdyho klienta musi instalovat protistrana toho skriptu... Kdyby se to nekomu chtelo dotahnout do upstreamu, tak muzu poskytnout detaily.