Harald Brombach (digi.no) Skrevet 15. mars 2018 Del Skrevet 15. mars 2018 Let's Encrypt åpner for «wildcard»-sertifikater 1 Lenke til kommentar
tommyb Skrevet 15. mars 2018 Del Skrevet 15. mars 2018 Da har man plutselig et reelt alternativ. ^^; Lenke til kommentar
Bolson Skrevet 15. mars 2018 Del Skrevet 15. mars 2018 Da har man plutselig et reelt alternativ. ^^; Alternativet er reelt i dag. Med bruken av ACME er det kurant å lage sertifikater for mange underdomener. Nå når certbot igjen virker som tenkt, tar det 2 - 5 minutt pr "domene" Personlig synes jeg det er like interessant at aktører som Buypass kommer med gratis sertifikater med støtte for ACME. Lenke til kommentar
tommyb Skrevet 15. mars 2018 Del Skrevet 15. mars 2018 Med dette tar det som vanlige wildcard-sertifikater ingen minutter per subdomene, altså per kunde, som betyr at det ikke lengre er en kostnadsdrivende og vedlikeholdsdrivende faktor, og da blir det et alternativ. Inntil nå var det kun et alternativ for mine private domener. Lenke til kommentar
Gjest Slettet-aEAbw77a Skrevet 16. mars 2018 Del Skrevet 16. mars 2018 Med dette tar det som vanlige wildcard-sertifikater ingen minutter per subdomene, altså per kunde, som betyr at det ikke lengre er en kostnadsdrivende og vedlikeholdsdrivende faktor, og da blir det et alternativ. Inntil nå var det kun et alternativ for mine private domener. Oppsett tar noen minutter, du legger inn domenene du vil ha i sertifikatet, kjører scriptet. Selve sjekken og utstedelsen av sertifikatet tar under 1 min. Så er det bare å sette opp en cronjob som fornyer sertifikatet hver før det utløper. Alt skjer automatisk, ikke veldig mye vedlikehold man trenger å gjøre der Lenke til kommentar
tommyb Skrevet 16. mars 2018 Del Skrevet 16. mars 2018 (endret) Med dette tar det som vanlige wildcard-sertifikater ingen minutter per subdomene, altså per kunde, som betyr at det ikke lengre er en kostnadsdrivende og vedlikeholdsdrivende faktor, og da blir det et alternativ. Inntil nå var det kun et alternativ for mine private domener. Oppsett tar noen minutter, du legger inn domenene du vil ha i sertifikatet, kjører scriptet. Selve sjekken og utstedelsen av sertifikatet tar under 1 min. Så er det bare å sette opp en cronjob som fornyer sertifikatet hver før det utløper. Alt skjer automatisk, ikke veldig mye vedlikehold man trenger å gjøre der I dag bruker vi allerede 0 minutter på sertifikater når vi setter opp systemet til en kunde. Vi oppretter en ny site med å duplisere en database og skrive inn hvilket subdomene som skal peke dit. Det er helt uaktuelt å legge inn kompliserende faktorer i oppsettet. Derfor er det ikke aktuelt å gå tilbake fra wildcard-sertifikater til enkeltsertifikater. Vi forsøker jobbe oss mot at ingen utviklere eller driftere trenger være involvert når en ny site settes opp. Det er andre ting vi trenger bruke tiden vår på. Dette vil jo naturligvis være forskjellig avhengig av hva slags tjenester og oppsett man leverer. Jeg snakker bare fra vårt behov nå. Endret 16. mars 2018 av tommyb 1 Lenke til kommentar
Bolson Skrevet 16. mars 2018 Del Skrevet 16. mars 2018 Med dette tar det som vanlige wildcard-sertifikater ingen minutter per subdomene, altså per kunde, som betyr at det ikke lengre er en kostnadsdrivende og vedlikeholdsdrivende faktor, og da blir det et alternativ. Inntil nå var det kun et alternativ for mine private domener. Oppsett tar noen minutter, du legger inn domenene du vil ha i sertifikatet, kjører scriptet. Selve sjekken og utstedelsen av sertifikatet tar under 1 min. Så er det bare å sette opp en cronjob som fornyer sertifikatet hver før det utløper. Alt skjer automatisk, ikke veldig mye vedlikehold man trenger å gjøre der Trenger ikke å legge inn cronjob - det gjøres også automatisk med certbot @tommyb: Trenger ikke å komplisere, dette kan automatiseres fullstendig. F.eks kjører jeg et script når jeg skal opprette et nytt domene/subdomene. Dette lager aktuelle kataloger, legger inn composer og setter opp virtuell host hos nginx. Her kan jeg også legge inn nødvendig kall til cerbot/ACME slik at sertifikatet installeres osv. Dvs jeg kan få dette ned til 0 minutter - og egentlig kan kunden faktisk gjøre dette ved bestilling. Men jeg vil ha litt kontroll pga mulige mindre justeringer i oppsett som det ikke lønner seg å automatisere. Hele prinsippet bak ACME (som Let's Encrypt og snart Buypass støtter) er automatisering. Løsningen som Let's Encrypt har for wildcard vil f.eks kreve tilgang til kundens DNS-oppsett (hos registraren). Kan godt være at det er den ideelle løsningen for dere, men wildcard er ingen forutsetning for helautomatiserte systemer for sertifikater om man bruker ACME og Certbot. Lenke til kommentar
tommyb Skrevet 16. mars 2018 Del Skrevet 16. mars 2018 Trenger ikke å legge inn cronjob - det gjøres også automatisk med certbot @tommyb: Trenger ikke å komplisere, dette kan automatiseres fullstendig. F.eks kjører jeg et script når jeg skal opprette et nytt domene/subdomene. Dette lager aktuelle kataloger, legger inn composer og setter opp virtuell host hos nginx. Her kan jeg også legge inn nødvendig kall til cerbot/ACME slik at sertifikatet installeres osv. Dvs jeg kan få dette ned til 0 minutter - og egentlig kan kunden faktisk gjøre dette ved bestilling. Men jeg vil ha litt kontroll pga mulige mindre justeringer i oppsett som det ikke lønner seg å automatisere. Hele prinsippet bak ACME (som Let's Encrypt og snart Buypass støtter) er automatisering. Løsningen som Let's Encrypt har for wildcard vil f.eks kreve tilgang til kundens DNS-oppsett (hos registraren). Kan godt være at det er den ideelle løsningen for dere, men wildcard er ingen forutsetning for helautomatiserte systemer for sertifikater om man bruker ACME og Certbot. Naturligvis, det er mange måter å gjøre ting på. Når vi setter opp et nytt subdomene, har vi altså kuttet ut både nye sertifikater og nye virtualhosts, og dermed slipper vi også å reloade webserveren, eller en eventuell risiko med automatiserte endringer av konfigurasjonsfilene. Desto mindre vi trenger konfigurere utenfor kjernesystemet, desto bedre. Da Let's Encrypt ble populært hadde vi allerede gjort denne jobben, og det stemmer jo fortsatt. Men kanskje neste gang vi trenger fornye wildcard-sertifikatene, at vi heller går for dette, nå når de har fått wildcard. Som så mange andre, må vi fortsette å strømlinjeforme prosessen hele tiden, og automatisk oppdaterende sertifikater hadde spart meg for endel arbeid om det hadde vært et alternativ da vi begynte med disse tingene. Da gjør det gjør ingenting om vi må inn i DNS-oppsettet én gang totalt. Lenke til kommentar
rosetta stoned Skrevet 16. mars 2018 Del Skrevet 16. mars 2018 ACME, er ikke det noe Bippe Stankelbein/Tom&Jerry-firma? Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå