Vlákno názorů k článku Stavíme vlastní e-mailový server: Apache, DANE, Bind a Postfix od Heron - Bude v dalších dílech pojednání i o upgrade...
-
Bude v dalších dílech pojednání i o upgrade a to zejména s přihlédnutím na externě dodané programy (v tomto díle acme skript a postfixadmin)?
PostfixAdmin je v Debu normálně v repositářích, jistě bude existovat přijatelné repo i pro CentOS.
Skript pro LE lze použít certbot (ten je v EPEL) a navíc upravit tak, aby běžel pod vlastním uživatelem.Ještě poznámka k
curl | sh. Tohle je antipattern a pokud má být článek i pro začátečníky, tak je dobré se tomuto vyhnout. A navíc ještě za roota. -
MP (neregistrovaný)
K tomu acme/certbot bych dodal jednu vec. Pokud to bezi pod jinym uzivatelem, je to systemovy uzivatel? Protoze jinak mi nedava smysl, jak by to mohlo reloadovat serverove sluzby.
Jo a uplne to v nahote ukazalo roztristenost PKI. Jeden program chce cert+key(+inter...) v jednom souboru, jiny to chce ve vice souborech...a clovek aby si psal uplne zbytecne skripty na vytvoreni "spravneho" formatu.
-
O ACME.sh jsem psal samostatný článek, reload se dělá jednoduše pomocí hooku, který volá sudo. V sudoers se pak povolí jen reload konkrétní služby, takže ten uživatel stejně nemůže udělat nic jiného.
Ten problém se netýká roztříštěnosti PKI, ale roztříštěnosti konfiguračních standardů. Není to problém autorit, ale toho, jak programátoři implementují načítání dat ze souborů. ACME.sh to řeší tak, že připraví rovnou všechny varianty a stačí pak software namířit na správný soubor. A pokud je potřeba ještě něco ultra speciálního, tak se to dá vyrobit triviálně pomocí skriptu zavolaného hookem. Jakmile se vytvoří nový certifikát, můj jednořádkový skript může obsah správných tří souborů nasypat někam vedle.
-
j (neregistrovaný)
To je jeste vpohode, pak zacnes resit asi tak 5 ruznych binarnich podob + bambiliardu "specielnich" podob. Trebas zcela konkretne pokud mas APC upsku se sitovym rozhranim, a potrebujes do ni dostat certifikat, tak to jinak nez jejich uberspecielnim toolem neudelas, protoze pouzivaj nejakej zcela custom format. A na nejakou automatickou obnovu muzes v tomhle pripade zapomenout uplne.
Takze slozit dva soubory do jednoho je jeste krasa ... ;D
-
To záleží, jak si to admin zařídí. Mě běží certbot (někde používám i dehydrated) pod samostatným uživatelem, který nemůže dělat vůbec nic, než jen zapsat do adresáře s certy a do adr. pro webroot ověření. Takže tento skript mi žádné služby nerestartuje a ani nemůže. To si řídím z vnějšku.
Nevím, jak formát souborů souvisí s PKI. Jednak ty skripty vytvoří všechny potřebné soubory, takže se ze všech programů odkazuje přímo na ně, ale zejména, ty "úplně zbytečné skripty správného formátu" jsou složité asi jako jeden cat. Protože intermediate cert buď je, nebo není součástí souboru crt. Takže
cat crt chain > full. Fakt složité.
ČLÁNKY DO MAILU