Vlákno názorů k článku Let's Encrypt spouští podporu žolíkových certifikátů od mr.n - v článku se píše, že obnova wildcard certifikátů...
-
Ondřej CaletkaZlatý podporovatelV článku se nepíše, že obnova wildcard certifikátů bude pouze manuální. Certifikát je možné vystavit po dobu životnosti validace, ta je v současné době 90 dnů.
Takže ve dni 0 provedete validaci a vydáte si první certifikát, s platností do dne 89. Ve dni číslo 89 ještě můžete získat další certifikát, až do dne číslo 178, pak už ale určitě musíte provést novou validaci. Tedy v okrajovém případě, je potřeba dělat validaci aspoň jednou za 178 dnů. V praxi to bude častěji, protože není dobrý nápad obnovovat certifikáty poslední den jejich platnosti.
-
mr.n (neregistrovaný)
super, díky za vysvětlení, jsem to blbě pochopil.. takže validace má platnost 90 dní, po tuto dobu je možné zažádat o nový certifikát s platností také 90 dní, po uplynutí platnosti samotné validace je nutné ji provést znovu, aby bylo možné zažádat o nový certifikát..
nemá někdo tip, jak toto dělat automatizovaně na DNS serverech active24? máme u nich DNS záznam pro interní doménu právě kvůli dns-01 validaci u LE.
-
mr.n (neregistrovaný)
Active24 nějaké API má, ale že by k tomu dali veřejně dokumentaci, nebo se k API hlásili a podporovali ho, tak to se zrovna říct nedá, ale už jsem to s nimi dlouho neřešil.. prostě nezachytili, že svět je už malinko jinde a nestačí mít jenom webové rozhraní pro správu přes klikošení v prohlížeči, ale že jsou tu lidi, kteří by rádi věci automatizovali, neklikali a šetřili si čas.. holt active24, zkušenosti s nimi nic moc, takový trochu středověk..
letmo jsem zkusil vyhledat na jejich stránkách výraz API a nic souvisejícího to nenašlo.. takže bída..používáme getssl pro LE, teď jsem našel nějaký perl skript (https://github.com/FgForrest/a24api), který s API ac24 umí pracovat a umí vložit TXT záznam, takže mi pravděpodobně nezbyde, než si napsat pro getssl wrapper nad tím perl skriptem a bude to automatizované..
-
Idea je deelgovat si DNS té ověřovací subdoménu na vlastní server a tam to vyřídit něčím jako dnsmasq nebo https://stackoverflow.com/questions/33531551/how-to-create-a-very-simple-dns-server-using-python.
-
mr.n (neregistrovaný)
vlastní DNS samozřejmě máme, ale jenom pro interní doménu a zvnějšku toto DNS není přístupné, takže ho nelze použít pro validaci LE (chápu to správně tak, že dns-01 validaci provádí servery LE, nebo to provádí klient? to snad ne!).. proto máme záznam pro interní doménu vystaven u ac24 a řešíme tam přidávání TXT záznamů pro validaci..
účel klikacího rozhraní je mi naprosto jasný, tady si laskavě nic nepotřebuju uvědomovat, proto se taky ptám na tu automatizaci.. -
Filip JirsákStříbrný podporovatelZdá se, že Active24 má nějaké API jen pro partnery. Není jednodušší tu jedu doménu s jedním záznamem převést k někomu, kdo API má, než řešit nějaké obezličky pro Active24?
-
j (neregistrovaný)
Tvle co nechapes na tom, ze API === DNS server. Na svym serveru povolis prenosy zony na servery active24 a snima se bud dohodnes, nebo v tom webu naklipes, ze jejich stroje budou sekundarni (a zadas jim IPcko primaru). Je to zcela standardni funcionalita kterou umi kazdej jeden registrator. Da se to udelat i tak, ze tvuj dns bude "pseudoprimar" = sam nebude do internetu odpovidat jinam nez dnskum registratora.
A bud to udelas tak, ze tvuj interni dns bude mit view smerem ven nebo si na to udelas dalsi dns nekde v dmz ... to uz je na tobe.
Pokud maj registratori nejaky API tak pro hromady registrace domen, ne pro nastavovani dns.
-
> Na svym serveru povolis prenosy zony na servery active24 a snima se bud dohodnes, nebo v tom webu naklipes, ze jejich stroje budou sekundarni (a zadas jim IPcko primaru).
Takže pouhým uvedením svého DNS jako primárního a ponecháním DNS poskytovatele se to zpropaguje?
> Pokud maj registratori nejaky API tak pro hromady registrace domen, ne pro nastavovani dns.
To není pravda, mám hned dva protipříklady:
https://www.namecheap.com/support/api/methods/domains-dns/set-hosts.aspx
https://kb.wedos.com/cs/wapi/dns-row-add.html -
Takže pouhým uvedením svého DNS jako primárního a ponecháním DNS poskytovatele se to zpropaguje?
Ano, tak jsou nastaveny standardy pro DNS.
Ale my tu v diskusi kombinujeme spotřebitelské služby, které mají omezenou funkcionalitu.
Pro potřeby ověření ACME bude největší překážkou rychlost propagace do jejich živých DNS. V případě "běžného" DNS protokolu jde NOTIFY okamžitě a dá se na to víceméně spolehnout.
API poskytovatelů může mít krátkou či nepoužitelně dlouhou odezvu. -
Je poněkud sporné, jestli je dobrý nápad mít DNS na vlastní infrastruktuře. U nadnárodní firmy klidně, ale u něčeho (bez urážky) garážovějšího v tom vidím více komplikací než přínosu. A použít DNS server providera jako sekundár – dá se to u Active24 nastavit tak, aby se synchronizoval s primárním serverem automaticky? Trochu o tom pochybuju.
Proto jsem navrhoval použít ten NS záznam. Znamenalo by to sice vlastní DNS, ale jen pro malý subset subdomén. A ani by nemusel běžet stále.
-
Ondřej CaletkaZlatý podporovatel
Pokud tam tu doménu máte jen kvůli tomu, tak ji převeďte k někomu, u koho už API někdo zprovoznil. Výběr pro acme.sh se dá najít zde: https://github.com/Neilpang/acme.sh/tree/master/dnsapi
-
mr.n (neregistrovaný)
jenom pro info, životnost platné autorizace vlastnictví domény je v současné době už jen 30 dní, nikoliv 90..
pro mě to tedy znamená, že pokud bych 30 dní před vypršením platnosti certifikátu (vystavuje se na 90dní) provedl jeho obnovu, tak to bude již 30 dní po vypršení autorizace vlastnictví domény a bude nutné provést nový challenge..
ČLÁNKY DO MAILU