LINUX.ORG.RU
ФорумAdmin

Посоветуйте ACME-клиент для CSR и DNS

 ,


0

1

Ищу максимально лёгкий клиент для генерации letsencrypt-сертификатов. Ключ ему давать не буду, сгенерирую CSR и пускай по нему генерирует сертификат. Валидация через DNS, который я сам через хуки прикручу (через API хостера). Пока что самое подходящее, что нашёл это dehydrated, но там поддержка CSR только непосредственным запуском, т.е. мне надо самому отслеживать, какие сертификаты скоро устареют и конкретно их обновлять, не хочется всю эту логику наворачивать в скрипте. В идеале хочется прописать его в запуск раз в сутки, накидать ему CSR-файлов куда-нибудь и пускай он сам когда надо обновляет сертификаты. Вроде самый логичный режим работы, но такого нигде пока не нашёл. Видимо придётся самому писать, но может пропустил чего.

★★★★★

т.е. мне надо самому отслеживать, какие сертификаты скоро устареют

dehydrated прекрасно справляется с этим если «текущий» сертификат лежит в certs/domain/ - если серт скоро истекает, то dehydrated сам запросит новый. Вам останется только положить новый сертификат в нужное место.

FreeBSD ★★★
()

У меня dehydrated отлично работает по крону на OpenWRT, руками сертификаты ни разу не обновлял. ЧЯДНТ?

pekmop1024 ★★★★★
()
Ответ на: комментарий от Legioner

dehydrated сам сгенерит CSR при появлении нового домена. Потом с этим CSR и работает. В CSR для Letsencrypt ничего кроме CN важного нет. Посмотри еще раз как работает dehydrated, там по-моему всё понятно и просто.

FreeBSD ★★★
()
Ответ на: комментарий от FreeBSD

Прочитай мой вопрос, пожалуйста. Мне не надо генерировать CSR, т.к. доступ к закрытому ключу я никакому LE давать не собираюсь, это просто излишне, кроме того на одном из моих устройств это в принципе невозможно. Ключи и CSR я сгенерирую сам на отдельных устройствах и CSR я подсуну ACME-клиенту, по которому он уже и получит сертификат. В CSR кроме CN важным является открытый ключ и подпись всего CSR закрытым ключом. Я знаю, как работает dehydrated и читал его исходники. В нём есть поддержка csr через --csr, но это ручной режим, т.е. мне надо отслеживать, когда мои сертификаты начнут протухать и запускать для каждого через этот --csr, т.е. по сути писать достаточно объёмный второй скрипт, который будет dehydrated использовать как вспомогательный инструмент. В общем может быть проще просто его доработать, надо будет подумать.

Legioner ★★★★★
() автор топика
8 мая 2018 г.
Ответ на: комментарий от Legioner

Доброго времени суток. Получилось ли у вас реализовать то, что вы задумали? Можете пожалуйста дать какие-либо контактные данные, чтобы можно было бы связаться с вами и задать сопутствующие вопросы. Мне необходимо это для выполнения научной работы. Очень вас прошу.

AlexZvon
()
Ответ на: комментарий от AlexZvon

Написал на Golang, https://github.com/vbezhenar/lecftool тут (там были ещё несколько коммитов, завтра запушу, если найду). По сути в Go в стандартной библиотеке хорошая поддержка протокола acme, поэтому всё, что угодно, легко реализуется. Можно писать на v04bvs at gmail dot com, постараюсь ответить, возможно не очень реактивно.

Legioner ★★★★★
() автор топика

а в чем прикол этого летсенкрипта? в том что они внедрились в корневые или получили аппрув от такого? идеология же собаке под хвост

Anoxemian ★★★★★
()
Ответ на: комментарий от Anoxemian

а в чем прикол этого летсенкрипта?

Единственный вариант получить бесплатный HTTPS сертификат, насколько мне известно.

идеология же собаке под хвост

Почему?

Legioner ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.