Посоветуйте ACME-клиент для CSR и DNS

0

1

Ищу максимально лёгкий клиент для генерации letsencrypt-сертификатов. Ключ ему давать не буду, сгенерирую CSR и пускай по нему генерирует сертификат. Валидация через DNS, который я сам через хуки прикручу (через API хостера). Пока что самое подходящее, что нашёл это dehydrated, но там поддержка CSR только непосредственным запуском, т.е. мне надо самому отслеживать, какие сертификаты скоро устареют и конкретно их обновлять, не хочется всю эту логику наворачивать в скрипте. В идеале хочется прописать его в запуск раз в сутки, накидать ему CSR-файлов куда-нибудь и пускай он сам когда надо обновляет сертификаты. Вроде самый логичный режим работы, но такого нигде пока не нашёл. Видимо придётся самому писать, но может пропустил чего.

Ссылка

←	Видимость ip-шников с двух сетевых карт

iptables, прозрачный squid и один интерфейс.

→

т.е. мне надо самому отслеживать, какие сертификаты скоро устареют

dehydrated прекрасно справляется с этим если «текущий» сертификат лежит в certs/domain/ - если серт скоро истекает, то dehydrated сам запросит новый. Вам останется только положить новый сертификат в нужное место.

FreeBSD ★★★
(26.06.17 23:10:04 MSK)

У меня dehydrated отлично работает по крону на OpenWRT, руками сертификаты ни разу не обновлял. ЧЯДНТ?

pekmop1024 ★★★★★
(26.06.17 23:13:14 MSK)

Ссылка

Ответ на: комментарий от FreeBSD 26.06.17 23:10:04 MSK

А csr он откуда возьмет?

~~Legioner~~ ★★★★★
(27.06.17 07:11:10 MSK) автор топика

Ответ на: комментарий от Legioner 27.06.17 07:11:10 MSK

dehydrated сам сгенерит CSR при появлении нового домена. Потом с этим CSR и работает. В CSR для Letsencrypt ничего кроме CN важного нет. Посмотри еще раз как работает dehydrated, там по-моему всё понятно и просто.

FreeBSD ★★★
(27.06.17 09:12:41 MSK)

Ответ на: комментарий от FreeBSD 27.06.17 09:12:41 MSK

Прочитай мой вопрос, пожалуйста. Мне не надо генерировать CSR, т.к. доступ к закрытому ключу я никакому LE давать не собираюсь, это просто излишне, кроме того на одном из моих устройств это в принципе невозможно. Ключи и CSR я сгенерирую сам на отдельных устройствах и CSR я подсуну ACME-клиенту, по которому он уже и получит сертификат. В CSR кроме CN важным является открытый ключ и подпись всего CSR закрытым ключом. Я знаю, как работает dehydrated и читал его исходники. В нём есть поддержка csr через --csr, но это ручной режим, т.е. мне надо отслеживать, когда мои сертификаты начнут протухать и запускать для каждого через этот --csr, т.е. по сути писать достаточно объёмный второй скрипт, который будет dehydrated использовать как вспомогательный инструмент. В общем может быть проще просто его доработать, надо будет подумать.

~~Legioner~~ ★★★★★
(27.06.17 10:18:02 MSK) автор топика

8 мая 2018 г.

Ответ на: комментарий от Legioner 27.06.17 10:18:02 MSK

Доброго времени суток. Получилось ли у вас реализовать то, что вы задумали? Можете пожалуйста дать какие-либо контактные данные, чтобы можно было бы связаться с вами и задать сопутствующие вопросы. Мне необходимо это для выполнения научной работы. Очень вас прошу.

AlexZvon
(08.05.18 23:08:03 MSK)

Ответ на: комментарий от AlexZvon 08.05.18 23:08:03 MSK

Написал на Golang, https://github.com/vbezhenar/lecftool тут (там были ещё несколько коммитов, завтра запушу, если найду). По сути в Go в стандартной библиотеке хорошая поддержка протокола acme, поэтому всё, что угодно, легко реализуется. Можно писать на v04bvs at gmail dot com, постараюсь ответить, возможно не очень реактивно.

~~Legioner~~ ★★★★★
(09.05.18 00:57:46 MSK) автор топика