Distribuce certifikátu Let's Encrypt

[jtrmal]

Ahoj, mám udelany wildcard Le certifikat pro všechny domácí stroje najednou a prozatím distribuci řeším přes rsync když si vzpomenu. Existuje nějaký nástroj který by mi to nějak ulehčil? Jde mi o to že mi přijde koncepčně docela rizikové povolovat root přístup abych mohl číst a zapisovat soubory v /etc. Tak mne napadlo třeba mit chroot účet který by pak měl namapovany pristup k adresarum LE ale to už začíná být dost nastavování, takže bych uvítal radu 🙂

[Reklama]

[Petr Krčmář]

Hlavně není potřeba ten certifikát nahrávat jako root do /etc. Já s certifikáty zásadně pracuji jako běžný uživatel, generuje mi je uživatel letsencypt a uchovává je v /home/letsencrypt/certs/.

[jtrmal]

To máte samozřejmě pravdu. Dobrá připomínka.

[Petr Krčmář]

Klienti pro ACME obvykle umí spustit nějaký příkaz po vytvoření nového certifikátu. Je pak možné spustit skript, který ty certifikáty přes SSH nacpe do všech služeb. Samozřejmě by se měl autentizovat SSH klíčem.

[skrivy]

Certifikát uložit na jednotné místo (může být http endpoint, key-value storage, vault), ze kterého si jej cronem budou stahovat všichni, kteří jej potřebují, a notifikují navázané lokální služby.

Nebo opačnou cestou - třeba pomocí ansible certifikát periodicky distribuovat na všechny servery + notifikuje služby, které jej používají.

[Reklama]

[Dan Ohnesorg]

Nevim kolik tech stroju je, ale bezne to resim tim, ze kazdy stroj ma certifikat vlastni, vystavuji se pres DNS overeni a zadne certifikaty se nikam distribuovat nemusi. Muzete vystavit 5 stejnych certifikatu tydne, takze kdyz clovek nepridava jeden stroj za hodinu, neni s tim problem.

[vpn22]

Řeším obnovu certifikátů pro několik desítek strojů s OS na bázi Linuxu, které nejsou přístupné z internetu, takže nejde řešit obnovu certifikátů přímo na nich. Mám proto separtátní VM, která řeší obnovu přes DNS challenge. Viz https://www.root.cz/clanky/nastroj-acme-dns-pohodlne-ziskavani-certifikatu-pomoci-dns/
Obnovené certifikáty se pak automaticky kopírují přes SSH na příslušné stroje.

Pokud lze na koncové zařízení nakopírovat obnovený certifikát přes SSH nebo přes nějaké rozumné HTTP API, funguje to výborně. Jinak je to problém výrazný. Chtěl bych řešit obdobným způsobem certifikáty pro zařízení jako například tiskárny.  Nepřišel jsem však na to, jak proces nakopírování certifikátu rozumně automatizovat. Ten stejný problém má u CISCO switchů. Certifikát lze vložit buď přes webové rozhraní a to ještě pouze neuvěřitelně stupidním způsobem nebo přes SSH přes nějakého interaktivního průvodce. Řešit to pro cca 50 zařízení každé tři měsíce ručně mi přijde jako nesmysl. Navíc to vypadá, že expirace certifikátu se bude zkracovat. To už vyjde lépe nechat si nadaných zařízení výchozí self-signed certifikát. Nepodařilo se někomu tento problém rozumně vyřešit?

[Tomas-T]

Udělat si na to malý prográmek s klikací automatizací - já bych to asi dělal přes Selenium driver.

[vpn22]

Napadlo mě stáhnout si startup config, v něm to změnit a nahrát zpět... Ale to je riziko.

[jtrmal]

Nevim kolik tech stroju je, ale bezne to resim tim, ze kazdy stroj ma certifikat vlastni, vystavuji se pres DNS overeni a zadne certifikaty se nikam distribuovat nemusi. Muzete vystavit 5 stejnych certifikatu tydne, takze kdyz clovek nepridava jeden stroj za hodinu, neni s tim problem.

Ja mam stale nejaky mentalni problem cpat stroje majici pouze soukromou IP (192.168.x.y) do verejne DNS, i kdyz mi jiz nekolikrat bylo receno, ze to je naprosto OK.
Jinak dekuji za pripomenuti tohoto -- puvodne jsem mel domenu na google domains, ktere mi to premigrovaly na FourSquare, ktere nepodporuje temer nic a uz vubec ne nejaky automaticky pristup. Resit wildcard manualne kazde tri mesice mi prislo vice mene zvladnutelne -- nebylo, stejne jsem na tom ve vysledku kaslal a tak jsem presel na Hetzner, kde existuji alespon komunitni pluginy do acme. A uz jsem si neuvedomil, ze muzu resit kazde domenove jmeno zvlast, az tedy se zbavim the fobie ze soukromych masin ve verejnem DNS

[motyq]

Zadne lokalni ip adresy do verejneho DNS strkat nemusite. Staci mit doma split-horizon DNS a certifikaty vyrabet pres dns-01 challenge.
Sice (zatim) nepouzivam letsencrypt ale step-ca pro domaci `.int` domenu, ale chci prejit na letsencrypt, protoze me zas nebavi distribuovat root/intermediate CA me autority na koncova zarizeni - sice jen jednou za dlouhou dobu nebo jen na nova zarizeni, ale je to voser.
Chci fejkovou `.int` vymenit za asi islandskou `.is` aby vysledna domaci domena byla co nejkratsi nebo nejpodobnejsi soucasne `.int` a nemusel jsem pak z pohledu certifikatu resit nic.
Zvenku pak muzu *.mojedomena.is posilat na verejnou ip domaciho routeru a pustit dovnitr jen co chci, uvnitr se budou adresy resolvit na spravne ip skrz domaci dhcp/dns.

[Dan Ohnesorg]

Jak pise predrecnik, nemusite mit v DNS konkretni IP adresy, budete tam mit jen jmena stroju, jestli je to nebezpecne je otazka na uplne jinou flamewar ;-)

Nicmene ja jsem zminoval jeste trochu jinou cestu, ktera se vejde do limitu LE. Muzete si na kazdem stroji vystavovat certifikat na jmeno treba *.home.example.com, takze navenek v DNS zadne utajene jmeno nebude a vevnitr muzete mit co chcete. A stejnych certifikatu muzete udelat 5 za tyden.

Nebo si tu * date primo na "holou" domenu, to uz je na kazdem.

Ja se obecne bojim toho, ze napadeni jednoho stroje muze vest k napadeni okolnich, distribuce certfikatu mezi stroji tomu casto otevira dvere.

[jtrmal]

Díky moc za vysvětlení. To je super. Posílám všem poděkování.