Let's Encrypt certifikaty pro ostatní služby

Deny

Let's Encrypt certifikaty pro ostatní služby
« kdy: 03. 12. 2015, 15:58:59 »
Ahoj,

zvažuju nasazeni Let's Encrypt na vpsce, je možný certifikáty používat i pro ostatní služby (ne jen www server)? Tedy imap, pop, smtp,... Nemáte někdo třeba už praktickou zkušenost?

Deny


Re:Let's Encrypt certifikaty pro ostatní služby
« Odpověď #1 kdy: 03. 12. 2015, 16:30:44 »
je možný certifikáty používat i pro ostatní služby (ne jen www server)? Tedy imap, pop, smtp,...
Certifikát je soubor s patřičnou strukturou, takže jestli máš službu, která data s tou strukturou umí použít, tak ti v tom nic nebrání.

Trochu komplikace může být s:

1. jak certifikát získat a obnovit - standardně se to dělá přes embedded www server, takže pokud bys chtěl získat cetifikát pro vpn1.mojedomena.cz, tak na tohle jméno musíš nasměrovat DNS záznamy (což třeba pro VPN nutně nepotřebuješ) a případně musíš i na chvilku vypnout webserver, pokud běží na stejné IP.

2. nebude to fungovat tak automatizovaně jako s www serverem - buď to uděláš poloručně, nebo si na to budeš muset napsat nějaké skripty apod.

3. všechny vydané certifikáty jsou u Let's encrypt zveřejňované - takže ten tvůj název bude veřejně vidět, což třeba nemusíš chtít

Sečteno podtrženo, pro služby, které neposkytuješ vyloženě veřejně (tj. "komukoli"), mi použití LE nedává moc smysl. Vlastní CA je daleko pohodlnější.

TKL

Re:Let's Encrypt certifikaty pro ostatní služby
« Odpověď #2 kdy: 04. 12. 2015, 22:17:31 »
Ahoj,

zvažuju nasazeni Let's Encrypt na vpsce, je možný certifikáty používat i pro ostatní služby (ne jen www server)? Tedy imap, pop, smtp,... Nemáte někdo třeba už praktickou zkušenost?

Deny

Mám. Apache, Postfix, Courier, Prosody.

Nejjednodušší (a v některých případech jediná) možnost je nakopírovat obsah privátního klíče, veřejného klíče a intermediate certifikátu do jednoho souboru, který pak zadáte do konfigurace dané služby.

Před chvílí jsem tvořil skript pro cron, tak se podělím, upravte dle potřeby.
Kód: [Vybrat]
#!/bin/bash
#
# Prepnuti do adresare letsencrypt
cd /home/letsencrypt
#
# Renew certifikatu
/home/letsencrypt/letsencrypt/letsencrypt-auto -a webroot --webroot-path /home/letsencrypt/webroot/ --config-dir /home/letsencrypt/etc --logs-dir /home/letsencrypt/log --work-dir /home/letsencrypt/lib --server https://acme-v01.api.letsencrypt.org/directory -d www.vase.domena -d vase.domena certonly --renew-by-default
#
# Nakopirovani novych certifikatu do jednoho souboru pro kompatibilitu s ostatnimi sluzbami na ocekavane misto
cat /home/letsencrypt/etc/live/vase.domena/privkey.pem /home/letsencrypt/etc/live/vase.domena/fullchain.pem > /cilove/umisteni/univerzalnicertifikat.pem
#
# Restart sluzeb, ktere pouzivaji SSL
/etc/init.d/apache2 restart
/etc/init.d/courier-imap-ssl restart
/etc/init.d/postfix restart
/etc/init.d/prosody restart