Fórum Root.cz

Hlavní témata => Server => Téma založeno: Deny 03. 12. 2015, 15:58:59

Název: Let's Encrypt certifikaty pro ostatní služby
Přispěvatel: Deny 03. 12. 2015, 15:58:59
Ahoj,

zvažuju nasazeni Let's Encrypt na vpsce, je možný certifikáty používat i pro ostatní služby (ne jen www server)? Tedy imap, pop, smtp,... Nemáte někdo třeba už praktickou zkušenost?

Deny
Název: Re:Let's Encrypt certifikaty pro ostatní služby
Přispěvatel: Mirek Prýmek 03. 12. 2015, 16:30:44
je možný certifikáty používat i pro ostatní služby (ne jen www server)? Tedy imap, pop, smtp,...
Certifikát je soubor s patřičnou strukturou, takže jestli máš službu, která data s tou strukturou umí použít, tak ti v tom nic nebrání.

Trochu komplikace může být s:

1. jak certifikát získat a obnovit - standardně se to dělá přes embedded www server, takže pokud bys chtěl získat cetifikát pro vpn1.mojedomena.cz, tak na tohle jméno musíš nasměrovat DNS záznamy (což třeba pro VPN nutně nepotřebuješ) a případně musíš i na chvilku vypnout webserver, pokud běží na stejné IP.

2. nebude to fungovat tak automatizovaně jako s www serverem - buď to uděláš poloručně, nebo si na to budeš muset napsat nějaké skripty apod.

3. všechny vydané certifikáty jsou u Let's encrypt zveřejňované - takže ten tvůj název bude veřejně vidět, což třeba nemusíš chtít

Sečteno podtrženo, pro služby, které neposkytuješ vyloženě veřejně (tj. "komukoli"), mi použití LE nedává moc smysl. Vlastní CA je daleko pohodlnější.
Název: Re:Let's Encrypt certifikaty pro ostatní služby
Přispěvatel: TKL 04. 12. 2015, 22:17:31
Ahoj,

zvažuju nasazeni Let's Encrypt na vpsce, je možný certifikáty používat i pro ostatní služby (ne jen www server)? Tedy imap, pop, smtp,... Nemáte někdo třeba už praktickou zkušenost?

Deny

Mám. Apache, Postfix, Courier, Prosody.

Nejjednodušší (a v některých případech jediná) možnost je nakopírovat obsah privátního klíče, veřejného klíče a intermediate certifikátu do jednoho souboru, který pak zadáte do konfigurace dané služby.

Před chvílí jsem tvořil skript pro cron, tak se podělím, upravte dle potřeby.
Kód: [Vybrat]
#!/bin/bash
#
# Prepnuti do adresare letsencrypt
cd /home/letsencrypt
#
# Renew certifikatu
/home/letsencrypt/letsencrypt/letsencrypt-auto -a webroot --webroot-path /home/letsencrypt/webroot/ --config-dir /home/letsencrypt/etc --logs-dir /home/letsencrypt/log --work-dir /home/letsencrypt/lib --server https://acme-v01.api.letsencrypt.org/directory -d www.vase.domena -d vase.domena certonly --renew-by-default
#
# Nakopirovani novych certifikatu do jednoho souboru pro kompatibilitu s ostatnimi sluzbami na ocekavane misto
cat /home/letsencrypt/etc/live/vase.domena/privkey.pem /home/letsencrypt/etc/live/vase.domena/fullchain.pem > /cilove/umisteni/univerzalnicertifikat.pem
#
# Restart sluzeb, ktere pouzivaji SSL
/etc/init.d/apache2 restart
/etc/init.d/courier-imap-ssl restart
/etc/init.d/postfix restart
/etc/init.d/prosody restart