Возможно ли убрать человеческий фактор при обновлении сертификатов LE?

0

1

Всем привет, на сервере крутится сервис strongSwan с сертификатом Let’s Encrypt. Недавно перестали подключаться клиенты, проблема оказалась в приватном ключе, он обновился. Текущее содержимое директории конфигурации:

/etc/ipsec.d/
├── aacerts
├── acerts
├── cacerts
│   ├── chain.pem -> /etc/letsencrypt/live/.../chain.pem
│   └── lets-encrypt-r3.pem
├── certs
│   ├── cert.pem -> /etc/letsencrypt/live/.../cert.pem
│   └── fullchain.pem -> /etc/letsencrypt/live/.../fullchain.pem
├── crls
├── ocspcerts
├── policies
├── private
│   └── privkey.pem
└── reqs

Если ключ сделать симлинком на симлинк в letsencrypt директории, то сервис перестает работать.

Вопрос, как избежать человеческого манипулирования на сервере при обновлении сертов LE? Возможно ли?

Ссылка

←	Запуск программ с GUI (графическим интерфейсом) из chroot. Новогодний рецепт.

Ansible argument_specs.yml, значение аргумента из default не присваивается

→

скрипты, что-нибудь слышал про это?

Anoxemian ★★★★★
(02.01.25 19:13:47 MSK)

https://eff-certbot.readthedocs.io/en/stable/using.html#pre-and-post-validation-hooks

Dimez ★★★★★
(02.01.25 19:16:06 MSK)

Ссылка

Ответ на: комментарий от Anoxemian 02.01.25 19:13:47 MSK

Нет, расскажи, если знаешь конечно, а не просто слышал о их существовании)

NordeN
(02.01.25 19:19:38 MSK) автор топика

Вопрос, как избежать человеческого манипулирования на сервере при обновлении сертов LE? Возможно ли?

Не пускай туда посторонних людей и не будет неожиданностей.

firkax ★★★★★
(02.01.25 19:23:14 MSK)

Ссылка

Ответ на: комментарий от NordeN 02.01.25 19:19:38 MSK

Смотри: для автоматизированной работы с сертификатами le есть скриптовое поделие certbot которое для случаев с нестандартными appliance поддерживает всяческие hook’и, куда можно запихать требуемые тебе действия с сертификатами. Выше димец тебе ссылку вкинул.

Anoxemian ★★★★★
(02.01.25 19:23:21 MSK)

Ответ на: комментарий от Anoxemian 02.01.25 19:23:21 MSK

certbot - блоатварь, лучше найти что-то более нормальное.

firkax ★★★★★
(02.01.25 19:26:13 MSK)

Ответ на: комментарий от firkax 02.01.25 19:26:13 MSK

А профит в чём?

MagicMirror ★★
(02.01.25 19:27:07 MSK)

Ответ на: комментарий от MagicMirror 02.01.25 19:27:07 MSK

В том чтобы иметь нормальный софт.

firkax ★★★★★
(02.01.25 19:27:53 MSK)

Ответ на: комментарий от Anoxemian 02.01.25 19:23:21 MSK

И кстати да, никакие хуки certbot-а автору бы не помогли. Он пишет что у него сменился приватный ключ. letsencrypt приватные ключи никому не генерирует, оно вообще никак с ними не контактирует. Так что ключ сменил сам автор, либо какой-то левый человек которому он дал доступ. Так что в первую очередь стоит не пускать на сервер никого левого.

firkax ★★★★★
(02.01.25 19:29:26 MSK)