Добавить возможность получения Let`s Encrypt ACMEv2 wildcard сертификатов для сторонних доменов

[r13]

С версии 2.15 появилась возможность получить wildcard сертификат от Let`s Encrypt

Предлагаю добавить возможность получения таких сертификатов и для доменов отличных от keendns, например посредством хук скрипта для выполнения dns-01 challenge.

 

Edited December 8, 2018 by r13

[Le ecureuil]

В 08.12.2018 в 20:01, r13 сказал:

С версии 2.15 появилась возможность получить wildcard сертификат от Let`s Encrypt

Предлагаю добавить возможность получения таких сертификатов и для доменов отличных от keendns, например посредством хук скрипта для выполнения dns-01 challenge.

 

Не раньше 2.16. Сперва нужно с нашим облаком отладить.

[Александр Рыжов]

В 08.12.2018 в 20:01, r13 сказал:

С версии 2.15 появилась возможность получить wildcard сертификат от Let`s Encrypt

Предлагаю добавить возможность получения таких сертификатов и для доменов отличных от keendns, например посредством хук скрипта для выполнения dns-01 challenge. 

 

Хук DNS challenge для чего? Для определённой службы, управляющей DNS-записями вашего домена?

[r13]

1 час назад, Александр Рыжов сказал:

Хук DNS challenge для чего? Для определённой службы, управляющей DNS-записями вашего домена?

Да, для прохождения dns-01 нужно же выставить определенную txt на днс записи домена. 

Edited December 10, 2018 by r13

[Александр Рыжов]

Вашего собственного домена. Записями которого управляет… какая служба?

[r13]

Только что, Александр Рыжов сказал:

Вашего собственного домена. Записями которого управляет… какая служба?

даже дднс некоторые такое позволяют, в частности dynv6.com

[Александр Рыжов]

Верно, надо отдать свой домен на управление какой-то службе.

И которую из них должен поддерживать кинетик, чтобы выполнить dns-01 challenge?

[r13]

9 минут назад, Александр Рыжов сказал:

Верно, надо отдать свой домен на управление какой-то службе.

И которую из них должен поддерживать кинетик, чтобы выполнить dns-01 challenge?

Обязательна поддержка канетиком?

Кинетик не может передать в entware требуемую txt запись а уже пользователь реализует ее актуализацию в днс службе обслуживающей домен?

[Александр Рыжов]

 

13 часа назад, r13 сказал:

Обязательна поддержка канетиком? 

Да, поддержка сервисом кинетика сторонних доменов обязательна для того, чтобы вертеть TXT/NS/etc-записями стороннего домена в рамках прохождения dns-01 challenge.

Т.е. предлагается превратить службу кинетика в NS-службу для домена. Как-то это о-о-чень далеко от функционала роутеров.

13 часа назад, r13 сказал:

Кинетик не может передать в entware требуемую txt запись а уже пользователь реализует ее актуализацию в днс службе обслуживающей домен?

Т.е. предлагается сделать кинетик полуавтоматом для прохождения challenge'а. А что мешает это сделать, запустив соотв. скрипт где угодно и на чём угодно?

Кроме того, для прохождения challenge отводится довольно сжатое время, его не хватит для переноса выдаваемых скриптом TXT-записей руками в нужное место.

[r13]

1 час назад, Александр Рыжов сказал:

 

Да, поддержка сервисом кинетика сторонних доменов обязательна для того, чтобы вертеть TXT/NS/etc-записями стороннего домена в рамках прохождения dns-01 challenge.

Т.е. предлагается превратить службу кинетика в NS-службу для домена. Как-то это о-о-чень далеко от функционала роутеров.

Т.е. предлагается сделать кинетик полуавтоматом для прохождения challenge'а. А что мешает это сделать, запустив соотв. скрипт где угодно и на чём угодно?

Кроме того, для прохождения challenge отводится довольно сжатое время, его не хватит для переноса выдаваемых скриптом TXT-записей руками в нужное место.

Естественно можно зайти с другой стороны, и разрешить заливать в кинетик свои сертификаты. так задача естественно упрощается. я безусловно «за» такой вариант, но пока нам подобное не разрешали. 

[Le ecureuil]

1 час назад, Александр Рыжов сказал:

 

Да, поддержка сервисом кинетика сторонних доменов обязательна для того, чтобы вертеть TXT/NS/etc-записями стороннего домена в рамках прохождения dns-01 challenge.

Т.е. предлагается превратить службу кинетика в NS-службу для домена. Как-то это о-о-чень далеко от функционала роутеров.

Т.е. предлагается сделать кинетик полуавтоматом для прохождения challenge'а. А что мешает это сделать, запустив соотв. скрипт где угодно и на чём угодно?

Кроме того, для прохождения challenge отводится довольно сжатое время, его не хватит для переноса выдаваемых скриптом TXT-записей руками в нужное место.

На самом деле на прохождение challenge отводится аж неделя  Другой вопрос, что этот срок неприемлем в реальном использовании

[Lefey]

Здравствуйте!

Планируется ли реализовать данную возможность?

На данный момент приходится на каждый субдомен получать отдельный сертификат, все бы ничего, но больше 5 сертификатов получить не удается из-за нехватки места.

Wildcat сертификат решил бы эту проблему.

[Le ecureuil]

2 часа назад, Lefey сказал:

Здравствуйте!

Планируется ли реализовать данную возможность?

На данный момент приходится на каждый субдомен получать отдельный сертификат, все бы ничего, но больше 5 сертификатов получить не удается из-за нехватки места.

Wildcat сертификат решил бы эту проблему.

Покажете какой-нибудь сторонний DNS API? Я пока только cloudflare нашел, его можно сделать по идее. Еще можно сделать поддержку вот этого API: https://github.com/joohoi/acme-dns
Вот тут есть куча-куча разных, выберете то, что вам нравится больше: https://github.com/acmesh-official/acme.sh/tree/master/dnsapi

[Le ecureuil]

Наверное даже еще круче сделаем. Я сделаю hook, который передает параметры прям как в этих скриптах, то есть можно использовать прямо их! Вам остается только заполнить переменные окружения и положить его в каталог, дальше все будет само. И кода писать особо не надо.

[Lefey]

В 14.08.2021 в 20:58, Le ecureuil сказал:

Покажете какой-нибудь сторонний DNS API? Я пока только cloudflare нашел, его можно сделать по идее. Еще можно сделать поддержку вот этого API: https://github.com/joohoi/acme-dns
Вот тут есть куча-куча разных, выберете то, что вам нравится больше: https://github.com/acmesh-official/acme.sh/tree/master/dnsapi

Именно cloudflare я и использую везде, в связке с acme.sh настроенным на dns api cloudflare - это очень удобно, во всех смыслах (не надо заморачиваться с открытием и пробросом портов для стандартного http метода, например когда требуется получить сертификат для сервиса предназначенного для работы только в домашней сети).

В 14.08.2021 в 21:00, Le ecureuil сказал:

Наверное даже еще круче сделаем. Я сделаю hook, который передает параметры прям как в этих скриптах, то есть можно использовать прямо их! Вам остается только заполнить переменные окружения и положить его в каталог, дальше все будет само. И кода писать особо не надо.

Такой вариант будет отличным! 

acme.sh помимо прочего можно настроить на отправку уведомлений при обновлении сертификата, например я включаю отправку уведомлений в телеграм, удобно отслеживать где что обновилось, а если нет, то можно оперативно отреагировать. Так что если будет возможность использовать весь функционал acme.sh было бы замечательно.

Я думал что команда ip http ssl acme get работает именно с официальным скриптом acme.sh, думал что доберусь до его конфига и сделаю все что мне нужно самостоятельно, но что-то не нашел ничего, поэтому обращаюсь к вам 😀

[Lefey]

В 14.08.2021 в 21:00, Le ecureuil сказал:

Наверное даже еще круче сделаем. Я сделаю hook, который передает параметры прям как в этих скриптах, то есть можно использовать прямо их! Вам остается только заполнить переменные окружения и положить его в каталог, дальше все будет само. И кода писать особо не надо.

Здравствуйте, есть какие-нибудь подвижки в этом вопросе?

[vlad]

Меня Тоже интересует данный вопрос. 

[bildin]

В 14.08.2021 в 13:58, Le ecureuil сказал:

Покажете какой-нибудь сторонний DNS API? Я пока только cloudflare нашел, его можно сделать по идее. Еще можно сделать поддержку вот этого API: https://github.com/joohoi/acme-dns
Вот тут есть куча-куча разных, выберете то, что вам нравится больше: https://github.com/acmesh-official/acme.sh/tree/master/dnsapi

 

Яндекс имеет DNS API и хорошо справляется с функцией DDNS, которая уже реализована в маршрутизаторах... Тоже хотелось бы иметь возможность генерации wildcard сертификатов или загрузки своего

https://yandex.ru/dev/pdd/doc/reference/dns-edit.html

[andrey.lysikov]

Хотел-бы поднять еще раз тему про сертификаты, дело в том, что если привязать свой домен и поддомен через ip http proxy, то чтобы сделать для них ip http ssl acme get обязательно надо чтобы был установлен компонент CloudDNS/KeenDNS, так как только в нем находится скрипт acme, и без него выпустить сертификат не получится.

Можно-ли вынести acme как отдельный компонент? (я например не хочу использовать KeenDNS, но с установленным этим компонентом все равно выдается xxxxxxxxxxxxxxx.keenetic.io). Возможно надо добавить Acme и в компонент для DDNS, чтобы скажем можно было привязать домен, и получить сертификат по нему. 

Плюс хочется как-до расширить ЧАВО по использованию  ip http proxy и  ip http ssl acme, так как сейчас на сайте документации информация только по доменам в KeenDNS, и самому разобраться достаточно сложно (точнее не очевидно что такая возможность вообще есть). 

Edited July 4 by andrey.lysikov
Разобрался с  ip http ssl acme

[Le ecureuil]

Системный домен *.io вам ничем не мешает, а все остальное уже и так можно сделать. Из-за редкости такого применения мы не вынесли его в веб.

[andrey.lysikov]

А можете модуль Acme добавить еще в компонент DDNS? Чтобы логичная привязка была, ну т.е. если свой домен, и используем DDNS, то и сертификат для него можно получить через CLI. 

 

И подскажите еще, в документации нигде не указано, будет он обновлен автоматически или нет? (ну т.е. мне перевыпускать его надо будет руками если он просрочился)

[Le ecureuil]

> ip http ssl acme get <ddns.domain.com>

[andrey.lysikov]

Эта команда не работает если не установлен компонент “KeenDNS”. 

[r13]

В 14.08.2021 в 14:00, Le ecureuil сказал:

Наверное даже еще круче сделаем. Я сделаю hook, который передает параметры прям как в этих скриптах, то есть можно использовать прямо их! Вам остается только заполнить переменные окружения и положить его в каталог, дальше все будет само. И кода писать особо не надо.

@Le ecureuil, а в этой части подвижки есть?

[Le ecureuil]

В 04.07.2024 в 21:58, r13 сказал:

@Le ecureuil, а в этой части подвижки есть?

Чот подзабылось по какой-то причине. Надо вспомнить.

[Lefey]

В 10.07.2024 в 00:18, Le ecureuil сказал:

Чот подзабылось по какой-то причине. Надо вспомнить.

 Было бы замечательно 👍