The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Централизованное управление сертификатами Let`s Encrypt"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Шифрование, SSH, SSL / Другая система)
Изначальное сообщение [ Отслеживать ]

"Централизованное управление сертификатами Let`s Encrypt"  +/
Сообщение от pas9x (ok) on 05-Май-17, 21:09 
Привет опеннет.

Как известно, есть такой сервис под названием Let`s Encrypt (назовём его LE). Сервис предоставляет бесплатные SSL-сертификаты сроком на 3 месяца. И всё-бы хорошо, еслиб не одна проблемка: юзабилити сервиса нулевое. Причём удобство не просто нулевое, у меня складывается впечатление, что авторы LE целенаправленно усложнили жизнь и пользователям сертификатов и разработчикам. На данный момент почти все администраторы используют LE либо посредством консоли (certbot), либо в веб-интерфейсе панели управления хостингом (ISPmanager, VestaCP), или-же используют ещё какие-то костыли. Всё это неудобно. Люди традиционно привыкли заказывать сертификат в веб-панели, на длительный срок, с поддоменом www, с поддержкой wildcard и прочими удобствами. Всего этого у Let`s Encrypt нет и это нужно исправить хотябы частично. Потому я решил написать веб-панель в которой-бы можно было управлять сертификатами LE максимально комфортно.

Скриншот: http://savepic.ru/13852951.htm

Панелька написана на PHP и легко устанавливается почти на любой веб-хостинг, так-же как обычная CMS. Исходники панели открыты, получить их можно на гитхабе: https://github.com/pas9x/justencrypt1

Официальный сайт проекта находится по адресу: http://pascalhp.net/justencrypt/
Здесь-же можно скачать последнюю версию дистрибутива и почитать мануалы.

Можете скачивать, устанавливать и пользоваться. Если у вас возникнут какие-то проблемы - обращайтесь по контактам указанным на сайте. В случае, если найдутся какие-то ошибки/баги - будет выпущена обновлённая версия. Что касается надёжности/стабильности/долговечности: заниматься проектом буду долго, панель будет дорабатываться и развиваться. Если есть какие-то вопросы/пожелания - готов ответить :)

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Централизованное управление сертификатами Let`s Encrypt"  +2 +/
Сообщение от PavelR (??) on 05-Май-17, 22:17 
> Причём удобство не просто нулевое, у меня складывается впечатление, что авторы LE
> целенаправленно усложнили жизнь  и пользователям сертификатов и разработчикам.

Если бы авторы LE усложнили жизнь разработчикам, вряд ли бы вы легко и непринужденно наваяли бы свою панель.

> На данный момент почти все администраторы используют LE либо посредством консоли
>(certbot), либо в веб-интерфейсе панели управления  хостингом (ISPmanager, VestaCP),
> или-же используют ещё какие-то костыли. Всё это неудобно.

Что именно неудобно? Можете ответить конкретно, аргументированно?

> Люди традиционно привыкли...

...платить за сертификаты. Вы это исправить не запланировали?
...менять сертификаты вручную раз в ... Может быть ваша панель исправляет это?

> заказывать сертификат в веб-панели, на длительный срок, с
> поддоменом www, с поддержкой wildcard и прочими удобствами.

С какими такими удобствами заказывается сертификат в веб-панелях?
Я как-то их там особо не замечал. Сначала где-то CSR составь, залей его в панель, получи файл верификации и потом залей на свой сервер вручную, дождись пока тебя проверят, скачай сертификат - это называется удобство?

Не встречал проблем с получением поддомена www в случае использования LE.

И поддержку wildcard вы не реализуете тоже.

Так какие такие актуальные проблемы решает ваша панель?

Я не говорю, что никаких проблем у LE нет.
Они есть, но для меня ваша панель вряд ли станет инструментом, решающим эти проблемы.

На мой взгляд, как раз таки лезть в какую-то веб-панель для заказа сертификата - это и есть неудобно. При этом неважно, ваша ли это панель или панель центра выдачи сертификатов.

> Всего этого у Let`s Encrypt нет и это нужно исправить хотябы частично. Потому я
> решил написать веб-панель в которой-бы можно было управлять сертификатами LE максимально
> комфортно.

Что значит - управлять сертификатами? Для меня управление сертификатами заканчивается сразу по окончанию конфигурации веб-сервера - дальше всё делает автоматика.

В чем обещанный комфорт? В том, что для получения сертификата надо дать панели рутовый доступ к серверу и вбить еще пяток параметров?

Какие актуальные задачи/проблемы решает ваша панель?

На мой взгляд, вписать _одну_ нужную строчку (список хостов сертификата) в файлик со списком сертификатов и выполнить _одну_ простую команду в консоли - гораздо проще, чем лезть в какую-либо панель.

Цитата из документации Панели:

>Предполагается, что в конфигах веб-сервера уже прописаны пути к файлам сертификата. В
>панели JustEncrypt вам нужно указать путь к файлу в который будет сохранён сертификат.

Интересное предположение. Т.е. на момент того, как админ лезет в панель:

- конфиги веб-сервера таки необходимо поправить;
- конфиги веб-сервера в это время являются сломанными, т.к. ссылаются на несуществующий файл сертификата.

Отличное решение, не находите?

Если конфиги веб-сервера необходимо править, значит ты уже в консоли сервера.
В этой же консоли прекрасно добавляется одна строка в нужный файл конфигурации (certbot или кто там что использует), выполняется одна консольная команда и всё - сертификат получен и лежит в стандартном ожидаемом месте со стандартным ожидаемым именем.

При этом не надо лезть ни в какие панели и увеличивать пробег мыши с непонятными целями.

Позиционирование вашей панели также какое-то странное:

>Важно: панель JustEncrypt предназначена для системных администраторов имеющих опыт работы
>с сервером по SSH и опыт настройки веб-сервера путём правки конфигов. Если вы не умеете
>настраивать конфиги веб-сервера, то сначала нужно этому научиться.

ИМХО, тем кто это всё умеет - ваша панель полезной не будет.

Если те, кто это всё умеют - пользуются прямым входом аккаунтом root по SSH ... да еще и соглашаются вбить рут-пароль в какую-то панель, которая потом положит его в MySQL.... нунизнаю.

Я в целом не против вашей панели и вашего труда.
Своих пользователей оно наверняка найдет, на opennet они толпами ходят.
Но вот ваши исходные предпосылки, аргументация и, отчасти, само решение - лично меня не убедили.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Централизованное управление сертификатами Let`s Encrypt"  –1 +/
Сообщение от pas9x (ok) on 06-Май-17, 00:45 
> Если бы авторы LE усложнили жизнь разработчикам, вряд ли бы вы легко
> и непринужденно наваяли бы свою панель.

Я написал её не легко и непринуждённо. Был большой геморрой с протоколом ACME которому не соответствует их-же собственная реализация boulder.

> Что именно неудобно? Можете ответить конкретно, аргументированно?

У меня много серверов. Неудобно на каждом из них ставить LE-клиента и следить за корректностью работы сертификатов. Неудобно на куче серверов его обновлять. Мне проще чтобы сертификаты на всех серверах управлялись из единого центра.

> ...платить за сертификаты. Вы это исправить не запланировали?
> ...менять сертификаты вручную раз в ... Может быть ваша панель исправляет это?

Вы-бы прежде чем критиковать поинтересовались что это за программа да почитали мануалы. Именно это она и исправляет. Панель по крону автоматически обновляет все сертификаты срок действия которых подходит к концу. И после перевыпуска обновляет их на серверах.

> Так какие такие актуальные проблемы решает ваша панель?

Проблему отсутствия веб-интерфейса. Когда у тебя куча серверов и веб-панелей то уследить за нормальной работой https на всех серверах становится сложно. Проще рулить всем из веб-интерфейса.

> На мой взгляд, как раз таки лезть в какую-то веб-панель для заказа
> сертификата - это и есть неудобно. При этом неважно, ваша ли
> это панель или панель центра выдачи сертификатов.

Ну это ваше личное мнение которое не совпадает с моим и мнением других администраторов которым нужна эта панель.

> Что значит - управлять сертификатами? Для меня управление сертификатами заканчивается
> сразу по окончанию конфигурации веб-сервера - дальше всё делает автоматика.

А у меня нет. Дальше на куче серверов перестаёт работать LE-клиент потому что разрабы LE поменяли протокол и шуруй обновлять клиента на каждом сервере.

> В чем обещанный комфорт? В том, что для получения сертификата надо дать
> панели рутовый доступ к серверу и вбить еще пяток параметров?
> Какие актуальные задачи/проблемы решает ваша панель?

Я уже всё объяснил, в том числе на сайте панели.

> Интересное предположение. Т.е. на момент того, как админ лезет в панель:
> - конфиги веб-сервера таки необходимо поправить;
> - конфиги веб-сервера в это время являются сломанными, т.к. ссылаются на несуществующий
> файл сертификата.

Да, представьте себе, ссылаются. Потому что без проблем можно прописать путь к сертификату в конфиге, и выпустить сертификат в панели с последующей перезагрузкой веб-сервера.
Извините, на ваш троллинг отвечать я больше не собираюсь, поскольку очевидно, что ваша задача в данном топике - всячески обосрать мою разработку.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Централизованное управление сертификатами Let`s Encrypt"  +1 +/
Сообщение от PavelR (??) on 06-Май-17, 06:09 
>Проблему отсутствия веб-интерфейса. Когда у тебя куча серверов и веб-панелей то уследить за
>нормальной работой https на всех серверах становится сложно. Проще рулить всем из
>веб-интерфейса.

Мне жаль людей, которым приходится днями и ночами сидеть и втыкать в веб-панель, чтобы следить за нормальной работой https на всех своих трех серверах.

LE сделал весьма человеческое уведомление в случае, если автоматика админа не поменяла сертификат, и отправляет его на E-Mail. Этого достаточно для того, чтобы уследить за сроком действия сертификата.

Для контроля за нормальной работой https в целом у нормальных админов есть система мониторинга.

>Извините, на ваш троллинг отвечать я больше не собираюсь, поскольку очевидно, что ваша
>задача в данном топике - всячески обосрать мою разработку.

Рано вы в своих комментариях на г-но изошли.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Централизованное управление сертификатами Let`s Encrypt"  +1 +/
Сообщение от ыы on 06-Май-17, 11:20 
> Проблему отсутствия веб-интерфейса. Когда у тебя куча серверов и веб-панелей то уследить
> за нормальной работой https на всех серверах становится сложно. Проще рулить
> всем из веб-интерфейса.

я правильно понимаю, что панель находится гдето в инете, а сами сервера которыми вы управляете- тоже раскиданы гдето по просторам интернета, на разных хостингах, с разными конфигурациями, разным набором софта и разными веб-серверами?

каким образом ваша веб-панель лазит на эти сервера? какие права она требует для своей работы на этих серверах? где и как она хранит учетные данные для такового доступа?

я правильно понимаю что для работы такой панели у PHP должен быть разрешен exec?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Централизованное управление сертификатами Let`s Encrypt"  +/
Сообщение от pas9x (ok) on 06-Май-17, 12:10 
> я правильно понимаю, что панель находится гдето в инете, а сами сервера
> которыми вы управляете- тоже раскиданы гдето по просторам интернета, на разных
> хостингах, с разными конфигурациями, разным набором софта и разными веб-серверами?

Правильно. Но не обязательно так. Если у хостера свой ДЦ то и управление серверами внутри его сети. И панельку компания естественно поставит где-то внутри своей сети.

> каким образом ваша веб-панель лазит на эти сервера? какие права она требует
> для своей работы на этих серверах? где и как она хранит
> учетные данные для такового доступа?

Уважаемый, всё ведь подробно расписано в мануалах :) Панель подключается к внешним серверам по SSH. Не обязательно вбивать в панель рутовый логин+пароль, можно и пользовательский. Просто при юзерском доступе чуть сложнее будет перезагрузить веб-сервер, но это тоже мелочи жизни.

> я правильно понимаю что для работы такой панели у PHP должен быть
> разрешен exec?

Не совсем понял суть вашего вопроса. В PHP есть функция exec(), вот документация к ней: http://php.net/manual/en/function.exec.php
Если вы об этой функции - неправильно. Эта функция нигде в панели не используется. Хотя если-бы и использовалась то всёравно не вижу в этом проблемы. После загрузки сертификата на ваш сервер по SSH панель (опционально) может выполнить на вашем сервере какую-нибудь команду, например service httpd reload, чтобы сервер подхватил обновлённый сертификат.

Вы можете установить панель на небольшую VPS-ку внутри сети, закрыть ей доступ в интернет и не беспокоиться что злой разработчик внедрит в неё бекдор и украдёт ваши пароли. Кроме того исходники ведь открыты.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Централизованное управление сертификатами Let`s Encrypt"  +/
Сообщение от pas9x (ok) on 06-Май-17, 12:18 
> какие права она требует
> для своей работы на этих серверах? где и как она хранит
> учетные данные для такового доступа?

Веб-приложение (т.е. php-скрипты) работают под обычным пользовательским аккаунтом так-же как CMS на обычном веб-хостинге. А чтобы панель сама продлевала/выгружала сертификаты нужно поставить на ежедневный запуск файл cron.php.
Пароли к внешним SSH-серверам хранятся в локальной sqlite-базе в зашифрованном виде (алгоритм AES-256).
И да, всё это уже написано в мануалах которые никто упорно не хочет читать :) Возможно с первого взгляда они не совсем понятны; постараюсь написать их более понятным языком. http://pascalhp.net/justencrypt/index.php?p=manual

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

2. "Централизованное управление сертификатами Let`s Encrypt"  +/
Сообщение от xm email(ok) on 05-Май-17, 23:26 
Не могу взять в толк, о каких конкретно проблемах LE вы толкуете, а уж, тем более, сложностях в выпуске, установке и обновлении. Уж тут всё автоматизировано донельзя.
Разве что отсутствие GUI можно отнести к проблеме.
Ограничения же есть. Они разумны и понятны. Можете принимать их или нет - вопрос ваш.
По опыту же достаточно один раз установить клиент ACME (выбор тут теперь богатый) настроить сервер(ы), выпустить сертификат и добавить в cron команду запуска обновления и забыть про этот вопрос.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Централизованное управление сертификатами Let`s Encrypt"  +/
Сообщение от pas9x (ok) on 06-Май-17, 00:49 
> Не могу взять в толк, о каких конкретно проблемах LE вы толкуете,
> а уж, тем более, сложностях в выпуске, установке и обновлении. Уж
> тут всё автоматизировано донельзя.

При большом количестве серверов/сайтов становится проще рулить сертификатами из одного места. Когда сертификатов много - мне больше нравится веб-интерфейс чем консоль. Кроме того, консольный LE-клиент иногда ломается (когда авторы LE меняют протокол) и становится нужным обновлять клиента на всех серверах, что не очень-то удобно. Проще обновить одну панель чем обновлять клиента на всех серверах. Это особенно актуально, например, для хостинг-провайдеров имеющих большое количество разных веб-панелек.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Централизованное управление сертификатами Let`s Encrypt"  +1 +/
Сообщение от PavelR (??) on 06-Май-17, 06:12 
>> Не могу взять в толк, о каких конкретно проблемах LE вы толкуете,
>> а уж, тем более, сложностях в выпуске, установке и обновлении. Уж
>> тут всё автоматизировано донельзя.
> При большом количестве серверов/сайтов становится проще рулить сертификатами из одного
> места. Когда сертификатов много - мне больше нравится веб-интерфейс чем консоль.
> Кроме того, консольный LE-клиент иногда ломается (когда авторы LE меняют протокол)
> и становится нужным обновлять клиента на всех серверах, что не очень-то
> удобно. Проще обновить одну панель чем обновлять клиента на всех серверах.
> Это особенно актуально, например, для хостинг-провайдеров имеющих большое количество
> разных веб-панелек.

Вы забыли взять слова "хостинг-провайдеров" в кавычки.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Централизованное управление сертификатами Let`s Encrypt"  +/
Сообщение от Вася (??) on 06-Май-17, 11:56 
Спасибо, поглядим
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Централизованное управление сертификатами Let`s Encrypt"  +/
Сообщение от pas9x (ok) on 06-Май-17, 18:57 
> Спасибо, поглядим

Хоть кто-то сказал спасибо)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Централизованное управление сертификатами Let`s Encrypt"  +/
Сообщение от Аноним (??) on 06-Май-17, 16:36 
ненужно


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Централизованное управление сертификатами Let`s Encrypt"  +/
Сообщение от shadow_alone (ok) on 07-Май-17, 11:28 
Конечно, может кому и пригодиться, но вот по поводу удобства, это вы зря...

Всё отлично сделали,а если у кого-то руки из **** растут, так что он не может все это дело автоматизировать, то, я думаю, это проблема кривизны его рук.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру