Centrální ověřování pro Let's Encrypt

[veskotskujehnusne]

Ahoj,

potřeboval bych poradit. Potřebuji centralizovat získávání certifikátů na jeden server, při rozsáhlé infrastruktuře je to jinak neudržitelné. Pro správu DNS používáme Ignum, takže jediná možnost, jak měnit záznamy dynamicky je použít jejich APi, což je sice možnost, ale nechci to řešit zbytečně.

Pokud se snažím získat certifikát na nějakém serveru, kde bych to řešil přes webroot, on se dotazuje na A záznam, což je k ničemu, protože bych tuto opičárnu musel řešit na všech serverech, vždy tam, kam směřuje A. Dá se u Let's encrypt nastavit nějaký trvalý pomocný záznam na doméně, kde se bude ověřovat, že je doména pod mou správou a potom to vynutit u certbotu?

Děkuji.

[Reklama]

[Filip Jirsák]

Nedá. Pro centrální ověřování je podle mne nejjednodušší používat právě ověřování přes DNS záznamy.

[Charon351]

Tady to vypadá na špatný návrh.
Zamyslete se ještě jednou a příjdete na to, že centrální opravdu nepotřebujete.

[Filip Jirsák]

Tady to vypadá na špatný návrh.
Zamyslete se ještě jednou a příjdete na to, že centrální opravdu nepotřebujete.

Co je na tom špatného? Mně to naopak připadá správné, o vydávání certifikátů se stará jeden bod, který může např. ověřovat, zda ten, kdo žádá o vydání certifikátu, na to má právo. Nechtěl bych, aby každé zařízení v síti mělo práva měnit DNS, aby mohlo vložit validační záznam pro svou potřebu.

[8B3CE273]

tady na to máš článek s návodem

https://www.root.cz/clanky/certifikaty-let-s-encrypt-validovane-pres-proxy-dns/


> Pro správu DNS používáme Ignum, takže jediná možnost, jak měnit záznamy dynamicky je použít jejich APi
Ignum má DNS api? Když jsem se jich ptal před měsícem, tak bylo stále v nedohlednu.

[Reklama]

[veskotskujehnusne]

Aha, tak oni ho ani nemají... Myslel jsem, že jen blbě hledám, že by ho neměli mě ani nenapadlo. Takže buď neskutečná fuška s ručním ověřováním, nebo vlastní ns... Moc děkuji.

tady na to máš článek s návodem

https://www.root.cz/clanky/certifikaty-let-s-encrypt-validovane-pres-proxy-dns/


> Pro správu DNS používáme Ignum, takže jediná možnost, jak měnit záznamy dynamicky je použít jejich APi
Ignum má DNS api? Když jsem se jich ptal před měsícem, tak bylo stále v nedohlednu.

[veskotskujehnusne]

Díky za článek, nejschůdnější je, vytvořit u Ignumu CNAME jinam, kde je API. Jen si tak postesknu, jak je proboha možné, že se Ignum v roce 2019 vůbec udrží na trhu, tohle jsou služby k ničemu.

tady na to máš článek s návodem

https://www.root.cz/clanky/certifikaty-let-s-encrypt-validovane-pres-proxy-dns/


> Pro správu DNS používáme Ignum, takže jediná možnost, jak měnit záznamy dynamicky je použít jejich APi
Ignum má DNS api? Když jsem se jich ptal před měsícem, tak bylo stále v nedohlednu.

[to_je_jedno]

že se Ignum v roce 2019 vůbec udrží na trhu, tohle jsou služby k ničemu.

to je jednoduchy - jsi proste exot. Ber to bez negativni konotace, jen po te sluzbe proste neni poptavka. To ze mas exoticky pozadavek neznamena, ze nekdo pujde a zaplati vyvoj te veci.

[Ondřej Caletka]

Jen si tak postesknu, jak je proboha možné, že se Ignum v roce 2019 vůbec udrží na trhu, tohle jsou služby k ničemu.

Pokud s jejich službami nejste spokojen a zmůžete se jen na stesk na fórech, místo abyste hlasoval peněženkou pro jiného registrátora, jste součástí toho důvodu, proč je Ignum v roce 2019 stále na trhu. Přitom prostředí DNS registrátorů je vysoce konkurenční a v případě CZ domény dokonce změna registrátora trvá jen sekundy a stojí 0 Kč.

[veskotskujehnusne]

Kde jsem tvrdil, že od nich neodejdu? 

Jen si tak postesknu, jak je proboha možné, že se Ignum v roce 2019 vůbec udrží na trhu, tohle jsou služby k ničemu.

Pokud s jejich službami nejste spokojen a zmůžete se jen na stesk na fórech, místo abyste hlasoval peněženkou pro jiného registrátora, jste součástí toho důvodu, proč je Ignum v roce 2019 stále na trhu. Přitom prostředí DNS registrátorů je vysoce konkurenční a v případě CZ domény dokonce změna registrátora trvá jen sekundy a stojí 0 Kč.