Jump to content

Question

Posted (edited)

С версии 2.15 появилась возможность получить wildcard сертификат от Let`s Encrypt

Предлагаю добавить возможность получения таких сертификатов и для доменов отличных от keendns, например посредством хук скрипта для выполнения dns-01 challenge.

 

Edited by r13
  • Upvote 1

26 answers to this question

Recommended Posts

  • 0
Posted
В 08.12.2018 в 20:01, r13 сказал:

С версии 2.15 появилась возможность получить wildcard сертификат от Let`s Encrypt

Предлагаю добавить возможность получения таких сертификатов и для доменов отличных от keendns, например посредством хук скрипта для выполнения dns-01 challenge.

 

Не раньше 2.16. Сперва нужно с нашим облаком отладить.

  • Thanks 1
  • 0
Posted
В 08.12.2018 в 20:01, r13 сказал:

С версии 2.15 появилась возможность получить wildcard сертификат от Let`s Encrypt

Предлагаю добавить возможность получения таких сертификатов и для доменов отличных от keendns, например посредством хук скрипта для выполнения dns-01 challenge. 

 

Хук DNS challenge для чего? Для определённой службы, управляющей DNS-записями вашего домена?

  • 0
Posted (edited)
1 час назад, Александр Рыжов сказал:

Хук DNS challenge для чего? Для определённой службы, управляющей DNS-записями вашего домена?

Да, для прохождения dns-01 нужно же выставить определенную txt на днс записи домена. 

Edited by r13
  • 0
Posted
Только что, Александр Рыжов сказал:

Вашего собственного домена. Записями которого управляет… какая служба?

даже дднс некоторые такое позволяют, в частности dynv6.com

  • 0
Posted
9 минут назад, Александр Рыжов сказал:

Верно, надо отдать свой домен на управление какой-то службе.

И которую из них должен поддерживать кинетик, чтобы выполнить dns-01 challenge?

Обязательна поддержка канетиком?

Кинетик не может передать в entware требуемую txt запись а уже пользователь реализует ее актуализацию в днс службе обслуживающей домен?

  • 0
Posted

 

13 часа назад, r13 сказал:

Обязательна поддержка канетиком? 

Да, поддержка сервисом кинетика сторонних доменов обязательна для того, чтобы вертеть TXT/NS/etc-записями стороннего домена в рамках прохождения dns-01 challenge.

Т.е. предлагается превратить службу кинетика в NS-службу для домена. Как-то это о-о-чень далеко от функционала роутеров.

13 часа назад, r13 сказал:

Кинетик не может передать в entware требуемую txt запись а уже пользователь реализует ее актуализацию в днс службе обслуживающей домен?

Т.е. предлагается сделать кинетик полуавтоматом для прохождения challenge'а. А что мешает это сделать, запустив соотв. скрипт где угодно и на чём угодно?

Кроме того, для прохождения challenge отводится довольно сжатое время, его не хватит для переноса выдаваемых скриптом TXT-записей руками в нужное место.

  • 0
Posted
1 час назад, Александр Рыжов сказал:

 

Да, поддержка сервисом кинетика сторонних доменов обязательна для того, чтобы вертеть TXT/NS/etc-записями стороннего домена в рамках прохождения dns-01 challenge.

Т.е. предлагается превратить службу кинетика в NS-службу для домена. Как-то это о-о-чень далеко от функционала роутеров.

Т.е. предлагается сделать кинетик полуавтоматом для прохождения challenge'а. А что мешает это сделать, запустив соотв. скрипт где угодно и на чём угодно?

Кроме того, для прохождения challenge отводится довольно сжатое время, его не хватит для переноса выдаваемых скриптом TXT-записей руками в нужное место.

Естественно можно зайти с другой стороны, и разрешить заливать в кинетик свои сертификаты. так задача естественно упрощается. я безусловно «за» такой вариант, но пока нам подобное не разрешали. 

  • 0
Posted
1 час назад, Александр Рыжов сказал:

 

Да, поддержка сервисом кинетика сторонних доменов обязательна для того, чтобы вертеть TXT/NS/etc-записями стороннего домена в рамках прохождения dns-01 challenge.

Т.е. предлагается превратить службу кинетика в NS-службу для домена. Как-то это о-о-чень далеко от функционала роутеров.

Т.е. предлагается сделать кинетик полуавтоматом для прохождения challenge'а. А что мешает это сделать, запустив соотв. скрипт где угодно и на чём угодно?

Кроме того, для прохождения challenge отводится довольно сжатое время, его не хватит для переноса выдаваемых скриптом TXT-записей руками в нужное место.

На самом деле на прохождение challenge отводится аж неделя :D Другой вопрос, что этот срок неприемлем в реальном использовании :)

  • 0
Posted

Здравствуйте!

Планируется ли реализовать данную возможность?

На данный момент приходится на каждый субдомен получать отдельный сертификат, все бы ничего, но больше 5 сертификатов получить не удается из-за нехватки места.

Wildcat сертификат решил бы эту проблему.

  • 0
Posted
2 часа назад, Lefey сказал:

Здравствуйте!

Планируется ли реализовать данную возможность?

На данный момент приходится на каждый субдомен получать отдельный сертификат, все бы ничего, но больше 5 сертификатов получить не удается из-за нехватки места.

Wildcat сертификат решил бы эту проблему.

Покажете какой-нибудь сторонний DNS API? Я пока только cloudflare нашел, его можно сделать по идее. Еще можно сделать поддержку вот этого API: https://github.com/joohoi/acme-dns
Вот тут есть куча-куча разных, выберете то, что вам нравится больше: https://github.com/acmesh-official/acme.sh/tree/master/dnsapi

  • 0
Posted

Наверное даже еще круче сделаем. Я сделаю hook, который передает параметры прям как в этих скриптах, то есть можно использовать прямо их! Вам остается только заполнить переменные окружения и положить его в каталог, дальше все будет само. И кода писать особо не надо. :)

  • Upvote 3
  • 0
Posted
В 14.08.2021 в 20:58, Le ecureuil сказал:

Покажете какой-нибудь сторонний DNS API? Я пока только cloudflare нашел, его можно сделать по идее. Еще можно сделать поддержку вот этого API: https://github.com/joohoi/acme-dns
Вот тут есть куча-куча разных, выберете то, что вам нравится больше: https://github.com/acmesh-official/acme.sh/tree/master/dnsapi

Именно cloudflare я и использую везде, в связке с acme.sh настроенным на dns api cloudflare - это очень удобно, во всех смыслах (не надо заморачиваться с открытием и пробросом портов для стандартного http метода, например когда требуется получить сертификат для сервиса предназначенного для работы только в домашней сети).

В 14.08.2021 в 21:00, Le ecureuil сказал:

Наверное даже еще круче сделаем. Я сделаю hook, который передает параметры прям как в этих скриптах, то есть можно использовать прямо их! Вам остается только заполнить переменные окружения и положить его в каталог, дальше все будет само. И кода писать особо не надо. :)

Такой вариант будет отличным! 

acme.sh помимо прочего можно настроить на отправку уведомлений при обновлении сертификата, например я включаю отправку уведомлений в телеграм, удобно отслеживать где что обновилось, а если нет, то можно оперативно отреагировать. Так что если будет возможность использовать весь функционал acme.sh было бы замечательно.

Я думал что команда ip http ssl acme get работает именно с официальным скриптом acme.sh, думал что доберусь до его конфига и сделаю все что мне нужно самостоятельно, но что-то не нашел ничего, поэтому обращаюсь к вам 😀

  • 0
Posted
В 14.08.2021 в 21:00, Le ecureuil сказал:

Наверное даже еще круче сделаем. Я сделаю hook, который передает параметры прям как в этих скриптах, то есть можно использовать прямо их! Вам остается только заполнить переменные окружения и положить его в каталог, дальше все будет само. И кода писать особо не надо. :)

Здравствуйте, есть какие-нибудь подвижки в этом вопросе?

  • 0
Posted
В 14.08.2021 в 13:58, Le ecureuil сказал:

Покажете какой-нибудь сторонний DNS API? Я пока только cloudflare нашел, его можно сделать по идее. Еще можно сделать поддержку вот этого API: https://github.com/joohoi/acme-dns
Вот тут есть куча-куча разных, выберете то, что вам нравится больше: https://github.com/acmesh-official/acme.sh/tree/master/dnsapi

 

Яндекс имеет DNS API и хорошо справляется с функцией DDNS, которая уже реализована в маршрутизаторах... Тоже хотелось бы иметь возможность генерации wildcard сертификатов или загрузки своего

https://yandex.ru/dev/pdd/doc/reference/dns-edit.html

  • 0
Posted (edited)

Хотел-бы поднять еще раз тему про сертификаты, дело в том, что если привязать свой домен и поддомен через ip http proxy, то чтобы сделать для них ip http ssl acme get обязательно надо чтобы был установлен компонент CloudDNS/KeenDNS, так как только в нем находится скрипт acme, и без него выпустить сертификат не получится.

Можно-ли вынести acme как отдельный компонент? (я например не хочу использовать KeenDNS, но с установленным этим компонентом все равно выдается xxxxxxxxxxxxxxx.keenetic.io). Возможно надо добавить Acme и в компонент для DDNS, чтобы скажем можно было привязать домен, и получить сертификат по нему. 

Плюс хочется как-до расширить ЧАВО по использованию  ip http proxy и  ip http ssl acme, так как сейчас на сайте документации информация только по доменам в KeenDNS, и самому разобраться достаточно сложно (точнее не очевидно что такая возможность вообще есть). 

Edited by andrey.lysikov
Разобрался с  ip http ssl acme
  • 0
Posted

Системный домен *.io вам ничем не мешает, а все остальное уже и так можно сделать. Из-за редкости такого применения мы не вынесли его в веб.

  • 0
Posted

А можете модуль Acme добавить еще в компонент DDNS? Чтобы логичная привязка была, ну т.е. если свой домен, и используем DDNS, то и сертификат для него можно получить через CLI. 

 

И подскажите еще, в документации нигде не указано, будет он обновлен автоматически или нет? (ну т.е. мне перевыпускать его надо будет руками если он просрочился)

  • 0
Posted
В 14.08.2021 в 14:00, Le ecureuil сказал:

Наверное даже еще круче сделаем. Я сделаю hook, который передает параметры прям как в этих скриптах, то есть можно использовать прямо их! Вам остается только заполнить переменные окружения и положить его в каталог, дальше все будет само. И кода писать особо не надо. :)

@Le ecureuil, а в этой части подвижки есть?

  • 0
Posted
В 10.07.2024 в 00:18, Le ecureuil сказал:

Чот подзабылось по какой-то причине. Надо вспомнить.

 Было бы замечательно 👍

  • 0
Posted (edited)

 

Ростелеком Нальчик блокирует доступ на IP адрес для узла acme-v02.api.letsencrypt.org

Причём их DNS корректно выдаёт IP адрес, но пинги на него не идут.

Настроил маршрутизацию (эксклюзивный маршрут до всей подсетки 172.65.32.0/24) через VPN на другой кинетик, у которого с сертификатами нет никаких проблем, всё пингуется и выдаётся.

После настройки маршрутизации узел acme-v02.api.letsencrypt.org пингуется нормально:

Спойлер

sending ICMP ECHO request to acme-v02.api.letsencrypt.org...
PING acme-v02.api.letsencrypt.org (172.65.32.248) 56 (84) bytes of data.
84 bytes from acme-v02.api.letsencrypt.org (172.65.32.248): icmp_req=1, ttl=55, time=133.91 ms.
84 bytes from acme-v02.api.letsencrypt.org (172.65.32.248): icmp_req=2, ttl=55, time=135.37 ms.
84 bytes from acme-v02.api.letsencrypt.org (172.65.32.248): icmp_req=3, ttl=55, time=132.37 ms.
84 bytes from acme-v02.api.letsencrypt.org (172.65.32.248): icmp_req=4, ttl=55, time=132.20 ms.
84 bytes from acme-v02.api.letsencrypt.org (172.65.32.248): icmp_req=5, ttl=55, time=132.72 ms.

В результате попытки получения сертификата через:

ip http ssl acme get mydomain.keenetic.link

(заменил имя моего домена)

ошибка 500

Ниже короткий лог:

 
Спойлер
Янв 3 12:36:41
ndm
Acme::Client: obtaining certificate for domain "mydomain.keenetic.link" is started.
Янв 3 12:36:45
ndm
Acme::Runner: perform DNS sanity checks for domain "mydomain.keenetic.link".
Янв 3 12:36:45
ndm
Acme::Runner: updating DNS TXT records for "mydomain.keenetic.link".
Янв 3 12:36:46
ndm
Acme::Runner: trying to resolve DNS TXT records (1/6)...
Янв 3 12:36:47
ndm
Acme::Runner: DNS TXT records updated successfully.
Янв 3 12:36:47
ndm
Acme::Runner: obtaining registration from ACMEv2 server...
Янв 3 12:36:47
ndm
Acme::Tools: requesting "https://acme-v02.api.letsencrypt.org/directory"...
Янв 3 12:37:03
ndm
Acme::Tools: [394] "response body": "".
Янв 3 12:37:03
ndm
Acme::Tools: bad HTTP status: 500.
Янв 3 12:37:03
ndm
Acme::Client: retry #2 after 20s.
 
Как можно выйти из этой ситуации без подключения к другому провайдеру? Мобильный интернет не предлагать, у нас есть только ростелеком по кабелю. 
Edited by Евгений Шваб

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.