Jump to content
  • 5

Добавить возможность получения Let`s Encrypt ACMEv2 wildcard сертификатов для сторонних доменов


r13
 Share

Question

С версии 2.15 появилась возможность получить wildcard сертификат от Let`s Encrypt

Предлагаю добавить возможность получения таких сертификатов и для доменов отличных от keendns, например посредством хук скрипта для выполнения dns-01 challenge.

 

Edited by r13
Link to comment
Share on other sites

16 answers to this question

Recommended Posts

  • 0
В 08.12.2018 в 20:01, r13 сказал:

С версии 2.15 появилась возможность получить wildcard сертификат от Let`s Encrypt

Предлагаю добавить возможность получения таких сертификатов и для доменов отличных от keendns, например посредством хук скрипта для выполнения dns-01 challenge.

 

Не раньше 2.16. Сперва нужно с нашим облаком отладить.

  • Thanks 1
Link to comment
Share on other sites

  • 0
В 08.12.2018 в 20:01, r13 сказал:

С версии 2.15 появилась возможность получить wildcard сертификат от Let`s Encrypt

Предлагаю добавить возможность получения таких сертификатов и для доменов отличных от keendns, например посредством хук скрипта для выполнения dns-01 challenge. 

 

Хук DNS challenge для чего? Для определённой службы, управляющей DNS-записями вашего домена?

Link to comment
Share on other sites

  • 0
1 час назад, Александр Рыжов сказал:

Хук DNS challenge для чего? Для определённой службы, управляющей DNS-записями вашего домена?

Да, для прохождения dns-01 нужно же выставить определенную txt на днс записи домена. 

Edited by r13
Link to comment
Share on other sites

  • 0
Только что, Александр Рыжов сказал:

Вашего собственного домена. Записями которого управляет… какая служба?

даже дднс некоторые такое позволяют, в частности dynv6.com

Link to comment
Share on other sites

  • 0
9 минут назад, Александр Рыжов сказал:

Верно, надо отдать свой домен на управление какой-то службе.

И которую из них должен поддерживать кинетик, чтобы выполнить dns-01 challenge?

Обязательна поддержка канетиком?

Кинетик не может передать в entware требуемую txt запись а уже пользователь реализует ее актуализацию в днс службе обслуживающей домен?

Link to comment
Share on other sites

  • 0

 

13 часа назад, r13 сказал:

Обязательна поддержка канетиком? 

Да, поддержка сервисом кинетика сторонних доменов обязательна для того, чтобы вертеть TXT/NS/etc-записями стороннего домена в рамках прохождения dns-01 challenge.

Т.е. предлагается превратить службу кинетика в NS-службу для домена. Как-то это о-о-чень далеко от функционала роутеров.

13 часа назад, r13 сказал:

Кинетик не может передать в entware требуемую txt запись а уже пользователь реализует ее актуализацию в днс службе обслуживающей домен?

Т.е. предлагается сделать кинетик полуавтоматом для прохождения challenge'а. А что мешает это сделать, запустив соотв. скрипт где угодно и на чём угодно?

Кроме того, для прохождения challenge отводится довольно сжатое время, его не хватит для переноса выдаваемых скриптом TXT-записей руками в нужное место.

Link to comment
Share on other sites

  • 0
1 час назад, Александр Рыжов сказал:

 

Да, поддержка сервисом кинетика сторонних доменов обязательна для того, чтобы вертеть TXT/NS/etc-записями стороннего домена в рамках прохождения dns-01 challenge.

Т.е. предлагается превратить службу кинетика в NS-службу для домена. Как-то это о-о-чень далеко от функционала роутеров.

Т.е. предлагается сделать кинетик полуавтоматом для прохождения challenge'а. А что мешает это сделать, запустив соотв. скрипт где угодно и на чём угодно?

Кроме того, для прохождения challenge отводится довольно сжатое время, его не хватит для переноса выдаваемых скриптом TXT-записей руками в нужное место.

Естественно можно зайти с другой стороны, и разрешить заливать в кинетик свои сертификаты. так задача естественно упрощается. я безусловно «за» такой вариант, но пока нам подобное не разрешали. 

Link to comment
Share on other sites

  • 0
1 час назад, Александр Рыжов сказал:

 

Да, поддержка сервисом кинетика сторонних доменов обязательна для того, чтобы вертеть TXT/NS/etc-записями стороннего домена в рамках прохождения dns-01 challenge.

Т.е. предлагается превратить службу кинетика в NS-службу для домена. Как-то это о-о-чень далеко от функционала роутеров.

Т.е. предлагается сделать кинетик полуавтоматом для прохождения challenge'а. А что мешает это сделать, запустив соотв. скрипт где угодно и на чём угодно?

Кроме того, для прохождения challenge отводится довольно сжатое время, его не хватит для переноса выдаваемых скриптом TXT-записей руками в нужное место.

На самом деле на прохождение challenge отводится аж неделя :D Другой вопрос, что этот срок неприемлем в реальном использовании :)

Link to comment
Share on other sites

  • 0

Здравствуйте!

Планируется ли реализовать данную возможность?

На данный момент приходится на каждый субдомен получать отдельный сертификат, все бы ничего, но больше 5 сертификатов получить не удается из-за нехватки места.

Wildcat сертификат решил бы эту проблему.

Link to comment
Share on other sites

  • 0
2 часа назад, Lefey сказал:

Здравствуйте!

Планируется ли реализовать данную возможность?

На данный момент приходится на каждый субдомен получать отдельный сертификат, все бы ничего, но больше 5 сертификатов получить не удается из-за нехватки места.

Wildcat сертификат решил бы эту проблему.

Покажете какой-нибудь сторонний DNS API? Я пока только cloudflare нашел, его можно сделать по идее. Еще можно сделать поддержку вот этого API: https://github.com/joohoi/acme-dns
Вот тут есть куча-куча разных, выберете то, что вам нравится больше: https://github.com/acmesh-official/acme.sh/tree/master/dnsapi

Link to comment
Share on other sites

  • 0

Наверное даже еще круче сделаем. Я сделаю hook, который передает параметры прям как в этих скриптах, то есть можно использовать прямо их! Вам остается только заполнить переменные окружения и положить его в каталог, дальше все будет само. И кода писать особо не надо. :)

  • Upvote 3
Link to comment
Share on other sites

  • 0
В 14.08.2021 в 20:58, Le ecureuil сказал:

Покажете какой-нибудь сторонний DNS API? Я пока только cloudflare нашел, его можно сделать по идее. Еще можно сделать поддержку вот этого API: https://github.com/joohoi/acme-dns
Вот тут есть куча-куча разных, выберете то, что вам нравится больше: https://github.com/acmesh-official/acme.sh/tree/master/dnsapi

Именно cloudflare я и использую везде, в связке с acme.sh настроенным на dns api cloudflare - это очень удобно, во всех смыслах (не надо заморачиваться с открытием и пробросом портов для стандартного http метода, например когда требуется получить сертификат для сервиса предназначенного для работы только в домашней сети).

В 14.08.2021 в 21:00, Le ecureuil сказал:

Наверное даже еще круче сделаем. Я сделаю hook, который передает параметры прям как в этих скриптах, то есть можно использовать прямо их! Вам остается только заполнить переменные окружения и положить его в каталог, дальше все будет само. И кода писать особо не надо. :)

Такой вариант будет отличным! 

acme.sh помимо прочего можно настроить на отправку уведомлений при обновлении сертификата, например я включаю отправку уведомлений в телеграм, удобно отслеживать где что обновилось, а если нет, то можно оперативно отреагировать. Так что если будет возможность использовать весь функционал acme.sh было бы замечательно.

Я думал что команда ip http ssl acme get работает именно с официальным скриптом acme.sh, думал что доберусь до его конфига и сделаю все что мне нужно самостоятельно, но что-то не нашел ничего, поэтому обращаюсь к вам 😀

Link to comment
Share on other sites

  • 0
В 14.08.2021 в 21:00, Le ecureuil сказал:

Наверное даже еще круче сделаем. Я сделаю hook, который передает параметры прям как в этих скриптах, то есть можно использовать прямо их! Вам остается только заполнить переменные окружения и положить его в каталог, дальше все будет само. И кода писать особо не надо. :)

Здравствуйте, есть какие-нибудь подвижки в этом вопросе?

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...