Добавить возможность получения Let`s Encrypt ACMEv2 wildcard сертификатов для сторонних доменов

r13 · 8 декабря, 2018

С версии 2.15 появилась возможность получить wildcard сертификат от Let`s Encrypt

Предлагаю добавить возможность получения таких сертификатов и для доменов отличных от keendns, например посредством хук скрипта для выполнения dns-01 challenge.

Изменено 8 декабря, 2018 пользователем r13

Le ecureuil · 10 декабря, 2018

В 08.12.2018 в 20:01, r13 сказал:

С версии 2.15 появилась возможность получить wildcard сертификат от Let`s Encrypt

Предлагаю добавить возможность получения таких сертификатов и для доменов отличных от keendns, например посредством хук скрипта для выполнения dns-01 challenge.

Не раньше 2.16. Сперва нужно с нашим облаком отладить.

Александр Рыжов · 10 декабря, 2018

В 08.12.2018 в 20:01, r13 сказал:

С версии 2.15 появилась возможность получить wildcard сертификат от Let`s Encrypt

Предлагаю добавить возможность получения таких сертификатов и для доменов отличных от keendns, например посредством хук скрипта для выполнения dns-01 challenge.

Хук DNS challenge для чего? Для определённой службы, управляющей DNS-записями вашего домена?

r13 · 10 декабря, 2018

1 час назад, Александр Рыжов сказал:

Хук DNS challenge для чего? Для определённой службы, управляющей DNS-записями вашего домена?

Да, для прохождения dns-01 нужно же выставить определенную txt на днс записи домена.

Изменено 10 декабря, 2018 пользователем r13

Александр Рыжов · 10 декабря, 2018

Вашего собственного домена. Записями которого управляет… какая служба?

r13 · 10 декабря, 2018

Только что, Александр Рыжов сказал:

Вашего собственного домена. Записями которого управляет… какая служба?

даже дднс некоторые такое позволяют, в частности dynv6.com

Александр Рыжов · 10 декабря, 2018

Верно, надо отдать свой домен на управление какой-то службе.

И которую из них должен поддерживать кинетик, чтобы выполнить dns-01 challenge?

r13 · 10 декабря, 2018

9 минут назад, Александр Рыжов сказал:

Верно, надо отдать свой домен на управление какой-то службе.

И которую из них должен поддерживать кинетик, чтобы выполнить dns-01 challenge?

Обязательна поддержка канетиком?

Кинетик не может передать в entware требуемую txt запись а уже пользователь реализует ее актуализацию в днс службе обслуживающей домен?

Александр Рыжов · 11 декабря, 2018

13 часа назад, r13 сказал:

Обязательна поддержка канетиком?

Да, поддержка сервисом кинетика сторонних доменов обязательна для того, чтобы вертеть TXT/NS/etc-записями стороннего домена в рамках прохождения dns-01 challenge.

Т.е. предлагается превратить службу кинетика в NS-службу для домена. Как-то это о-о-чень далеко от функционала роутеров.

13 часа назад, r13 сказал:

Кинетик не может передать в entware требуемую txt запись а уже пользователь реализует ее актуализацию в днс службе обслуживающей домен?

Т.е. предлагается сделать кинетик полуавтоматом для прохождения challenge'а. А что мешает это сделать, запустив соотв. скрипт где угодно и на чём угодно?

Кроме того, для прохождения challenge отводится довольно сжатое время, его не хватит для переноса выдаваемых скриптом TXT-записей руками в нужное место.

r13 · 11 декабря, 2018

1 час назад, Александр Рыжов сказал:

Да, поддержка сервисом кинетика сторонних доменов обязательна для того, чтобы вертеть TXT/NS/etc-записями стороннего домена в рамках прохождения dns-01 challenge.

Т.е. предлагается превратить службу кинетика в NS-службу для домена. Как-то это о-о-чень далеко от функционала роутеров.

Т.е. предлагается сделать кинетик полуавтоматом для прохождения challenge'а. А что мешает это сделать, запустив соотв. скрипт где угодно и на чём угодно?

Кроме того, для прохождения challenge отводится довольно сжатое время, его не хватит для переноса выдаваемых скриптом TXT-записей руками в нужное место.

Естественно можно зайти с другой стороны, и разрешить заливать в кинетик свои сертификаты. так задача естественно упрощается. я безусловно «за» такой вариант, но пока нам подобное не разрешали.

Le ecureuil · 11 декабря, 2018

1 час назад, Александр Рыжов сказал:

Да, поддержка сервисом кинетика сторонних доменов обязательна для того, чтобы вертеть TXT/NS/etc-записями стороннего домена в рамках прохождения dns-01 challenge.

Т.е. предлагается превратить службу кинетика в NS-службу для домена. Как-то это о-о-чень далеко от функционала роутеров.

Т.е. предлагается сделать кинетик полуавтоматом для прохождения challenge'а. А что мешает это сделать, запустив соотв. скрипт где угодно и на чём угодно?

Кроме того, для прохождения challenge отводится довольно сжатое время, его не хватит для переноса выдаваемых скриптом TXT-записей руками в нужное место.

На самом деле на прохождение challenge отводится аж неделя Другой вопрос, что этот срок неприемлем в реальном использовании

Lefey · 14 августа, 2021

Здравствуйте!

Планируется ли реализовать данную возможность?

На данный момент приходится на каждый субдомен получать отдельный сертификат, все бы ничего, но больше 5 сертификатов получить не удается из-за нехватки места.

Wildcat сертификат решил бы эту проблему.

Le ecureuil · 14 августа, 2021

2 часа назад, Lefey сказал:

Здравствуйте!

Планируется ли реализовать данную возможность?

На данный момент приходится на каждый субдомен получать отдельный сертификат, все бы ничего, но больше 5 сертификатов получить не удается из-за нехватки места.

Wildcat сертификат решил бы эту проблему.

Покажете какой-нибудь сторонний DNS API? Я пока только cloudflare нашел, его можно сделать по идее. Еще можно сделать поддержку вот этого API: https://github.com/joohoi/acme-dns
Вот тут есть куча-куча разных, выберете то, что вам нравится больше: https://github.com/acmesh-official/acme.sh/tree/master/dnsapi

Le ecureuil · 14 августа, 2021

Наверное даже еще круче сделаем. Я сделаю hook, который передает параметры прям как в этих скриптах, то есть можно использовать прямо их! Вам остается только заполнить переменные окружения и положить его в каталог, дальше все будет само. И кода писать особо не надо.

Lefey · 16 августа, 2021

В 14.08.2021 в 20:58, Le ecureuil сказал:

Покажете какой-нибудь сторонний DNS API? Я пока только cloudflare нашел, его можно сделать по идее. Еще можно сделать поддержку вот этого API: https://github.com/joohoi/acme-dns
Вот тут есть куча-куча разных, выберете то, что вам нравится больше: https://github.com/acmesh-official/acme.sh/tree/master/dnsapi

Именно cloudflare я и использую везде, в связке с acme.sh настроенным на dns api cloudflare - это очень удобно, во всех смыслах (не надо заморачиваться с открытием и пробросом портов для стандартного http метода, например когда требуется получить сертификат для сервиса предназначенного для работы только в домашней сети).

В 14.08.2021 в 21:00, Le ecureuil сказал:

Наверное даже еще круче сделаем. Я сделаю hook, который передает параметры прям как в этих скриптах, то есть можно использовать прямо их! Вам остается только заполнить переменные окружения и положить его в каталог, дальше все будет само. И кода писать особо не надо.

Такой вариант будет отличным!

acme.sh помимо прочего можно настроить на отправку уведомлений при обновлении сертификата, например я включаю отправку уведомлений в телеграм, удобно отслеживать где что обновилось, а если нет, то можно оперативно отреагировать. Так что если будет возможность использовать весь функционал acme.sh было бы замечательно.

Я думал что команда ip http ssl acme get работает именно с официальным скриптом acme.sh, думал что доберусь до его конфига и сделаю все что мне нужно самостоятельно, но что-то не нашел ничего, поэтому обращаюсь к вам 😀

Lefey · 3 февраля, 2022

В 14.08.2021 в 21:00, Le ecureuil сказал:

Наверное даже еще круче сделаем. Я сделаю hook, который передает параметры прям как в этих скриптах, то есть можно использовать прямо их! Вам остается только заполнить переменные окружения и положить его в каталог, дальше все будет само. И кода писать особо не надо.

Здравствуйте, есть какие-нибудь подвижки в этом вопросе?

vlad · 3 февраля, 2022

Меня Тоже интересует данный вопрос.

bildin · 6 декабря, 2022

В 14.08.2021 в 13:58, Le ecureuil сказал:

Покажете какой-нибудь сторонний DNS API? Я пока только cloudflare нашел, его можно сделать по идее. Еще можно сделать поддержку вот этого API: https://github.com/joohoi/acme-dns
Вот тут есть куча-куча разных, выберете то, что вам нравится больше: https://github.com/acmesh-official/acme.sh/tree/master/dnsapi

Яндекс имеет DNS API и хорошо справляется с функцией DDNS, которая уже реализована в маршрутизаторах... Тоже хотелось бы иметь возможность генерации wildcard сертификатов или загрузки своего

https://yandex.ru/dev/pdd/doc/reference/dns-edit.html

andrey.lysikov · 4 июля, 2024

Хотел-бы поднять еще раз тему про сертификаты, дело в том, что если привязать свой домен и поддомен через ip http proxy, то чтобы сделать для них ip http ssl acme get обязательно надо чтобы был установлен компонент CloudDNS/KeenDNS, так как только в нем находится скрипт acme, и без него выпустить сертификат не получится.

Можно-ли вынести acme как отдельный компонент? (я например не хочу использовать KeenDNS, но с установленным этим компонентом все равно выдается xxxxxxxxxxxxxxx.keenetic.io). Возможно надо добавить Acme и в компонент для DDNS, чтобы скажем можно было привязать домен, и получить сертификат по нему.

Плюс хочется как-до расширить ЧАВО по использованию ip http proxy и ip http ssl acme, так как сейчас на сайте документации информация только по доменам в KeenDNS, и самому разобраться достаточно сложно (точнее не очевидно что такая возможность вообще есть).

Изменено 4 июля, 2024 пользователем andrey.lysikov
Разобрался с ip http ssl acme

Le ecureuil · 4 июля, 2024

Системный домен *.io вам ничем не мешает, а все остальное уже и так можно сделать. Из-за редкости такого применения мы не вынесли его в веб.

andrey.lysikov · 4 июля, 2024

А можете модуль Acme добавить еще в компонент DDNS? Чтобы логичная привязка была, ну т.е. если свой домен, и используем DDNS, то и сертификат для него можно получить через CLI.

И подскажите еще, в документации нигде не указано, будет он обновлен автоматически или нет? (ну т.е. мне перевыпускать его надо будет руками если он просрочился)

Le ecureuil · 4 июля, 2024

> ip http ssl acme get <ddns.domain.com>

andrey.lysikov · 4 июля, 2024

Эта команда не работает если не установлен компонент “KeenDNS”.

r13 · 4 июля, 2024

В 14.08.2021 в 14:00, Le ecureuil сказал:

Наверное даже еще круче сделаем. Я сделаю hook, который передает параметры прям как в этих скриптах, то есть можно использовать прямо их! Вам остается только заполнить переменные окружения и положить его в каталог, дальше все будет само. И кода писать особо не надо.

@Le ecureuil, а в этой части подвижки есть?

Le ecureuil · 9 июля, 2024

В 04.07.2024 в 21:58, r13 сказал:

@Le ecureuil, а в этой части подвижки есть?

Чот подзабылось по какой-то причине. Надо вспомнить.

Lefey · 17 июля, 2024

В 10.07.2024 в 00:18, Le ecureuil сказал:

Чот подзабылось по какой-то причине. Надо вспомнить.

Было бы замечательно 👍

Войти

Добавить возможность получения Let`s Encrypt ACMEv2 wildcard сертификатов для сторонних доменов

Вопрос

r13

25 ответов на этот вопрос

Рекомендуемые сообщения

Le ecureuil

Александр Рыжов

r13

Александр Рыжов

r13

Александр Рыжов

r13

Александр Рыжов

r13

Le ecureuil

Lefey

Le ecureuil

Le ecureuil

Lefey

Lefey

vlad

bildin

andrey.lysikov

Le ecureuil

andrey.lysikov

Le ecureuil

andrey.lysikov

r13

Le ecureuil

Lefey

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Обзор

Активность

Магазин

My Details

Важная информация