форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Шифрование, SSH, SSL / Другая система)
Изначальное сообщение		[ Отслеживать ]

"Централизованное управление сертификатами Let`s Encrypt"	+/–
Сообщение от pas9x (ok) on 05-Май-17, 21:09
Привет опеннет. Как известно, есть такой сервис под названием Let`s Encrypt (назовём его LE). Сервис предоставляет бесплатные SSL-сертификаты сроком на 3 месяца. И всё-бы хорошо, еслиб не одна проблемка: юзабилити сервиса нулевое. Причём удобство не просто нулевое, у меня складывается впечатление, что авторы LE целенаправленно усложнили жизнь и пользователям сертификатов и разработчикам. На данный момент почти все администраторы используют LE либо посредством консоли (certbot), либо в веб-интерфейсе панели управления хостингом (ISPmanager, VestaCP), или-же используют ещё какие-то костыли. Всё это неудобно. Люди традиционно привыкли заказывать сертификат в веб-панели, на длительный срок, с поддоменом www, с поддержкой wildcard и прочими удобствами. Всего этого у Let`s Encrypt нет и это нужно исправить хотябы частично. Потому я решил написать веб-панель в которой-бы можно было управлять сертификатами LE максимально комфортно. Скриншот: http://savepic.ru/13852951.htm Панелька написана на PHP и легко устанавливается почти на любой веб-хостинг, так-же как обычная CMS. Исходники панели открыты, получить их можно на гитхабе: https://github.com/pas9x/justencrypt1 Официальный сайт проекта находится по адресу: http://pascalhp.net/justencrypt/ Здесь-же можно скачать последнюю версию дистрибутива и почитать мануалы. Можете скачивать, устанавливать и пользоваться. Если у вас возникнут какие-то проблемы - обращайтесь по контактам указанным на сайте. В случае, если найдутся какие-то ошибки/баги - будет выпущена обновлённая версия. Что касается надёжности/стабильности/долговечности: заниматься проектом буду долго, панель будет дорабатываться и развиваться. Если есть какие-то вопросы/пожелания - готов ответить :)
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Централизованное управление сертификатами Let`s Encrypt"	+2 +/–
Сообщение от PavelR (??) on 05-Май-17, 22:17
> Причём удобство не просто нулевое, у меня складывается впечатление, что авторы LE > целенаправленно усложнили жизнь  и пользователям сертификатов и разработчикам. Если бы авторы LE усложнили жизнь разработчикам, вряд ли бы вы легко и непринужденно наваяли бы свою панель. > На данный момент почти все администраторы используют LE либо посредством консоли >(certbot), либо в веб-интерфейсе панели управления  хостингом (ISPmanager, VestaCP), > или-же используют ещё какие-то костыли. Всё это неудобно. Что именно неудобно? Можете ответить конкретно, аргументированно? > Люди традиционно привыкли... ...платить за сертификаты. Вы это исправить не запланировали? ...менять сертификаты вручную раз в ... Может быть ваша панель исправляет это? > заказывать сертификат в веб-панели, на длительный срок, с > поддоменом www, с поддержкой wildcard и прочими удобствами. С какими такими удобствами заказывается сертификат в веб-панелях? Я как-то их там особо не замечал. Сначала где-то CSR составь, залей его в панель, получи файл верификации и потом залей на свой сервер вручную, дождись пока тебя проверят, скачай сертификат - это называется удобство? Не встречал проблем с получением поддомена www в случае использования LE. И поддержку wildcard вы не реализуете тоже. Так какие такие актуальные проблемы решает ваша панель? Я не говорю, что никаких проблем у LE нет. Они есть, но для меня ваша панель вряд ли станет инструментом, решающим эти проблемы. На мой взгляд, как раз таки лезть в какую-то веб-панель для заказа сертификата - это и есть неудобно. При этом неважно, ваша ли это панель или панель центра выдачи сертификатов. > Всего этого у Let`s Encrypt нет и это нужно исправить хотябы частично. Потому я > решил написать веб-панель в которой-бы можно было управлять сертификатами LE максимально > комфортно. Что значит - управлять сертификатами? Для меня управление сертификатами заканчивается сразу по окончанию конфигурации веб-сервера - дальше всё делает автоматика. В чем обещанный комфорт? В том, что для получения сертификата надо дать панели рутовый доступ к серверу и вбить еще пяток параметров? Какие актуальные задачи/проблемы решает ваша панель? На мой взгляд, вписать _одну_ нужную строчку (список хостов сертификата) в файлик со списком сертификатов и выполнить _одну_ простую команду в консоли - гораздо проще, чем лезть в какую-либо панель. Цитата из документации Панели: >Предполагается, что в конфигах веб-сервера уже прописаны пути к файлам сертификата. В >панели JustEncrypt вам нужно указать путь к файлу в который будет сохранён сертификат. Интересное предположение. Т.е. на момент того, как админ лезет в панель: - конфиги веб-сервера таки необходимо поправить; - конфиги веб-сервера в это время являются сломанными, т.к. ссылаются на несуществующий файл сертификата. Отличное решение, не находите? Если конфиги веб-сервера необходимо править, значит ты уже в консоли сервера. В этой же консоли прекрасно добавляется одна строка в нужный файл конфигурации (certbot или кто там что использует), выполняется одна консольная команда и всё - сертификат получен и лежит в стандартном ожидаемом месте со стандартным ожидаемым именем. При этом не надо лезть ни в какие панели и увеличивать пробег мыши с непонятными целями. Позиционирование вашей панели также какое-то странное: >Важно: панель JustEncrypt предназначена для системных администраторов имеющих опыт работы >с сервером по SSH и опыт настройки веб-сервера путём правки конфигов. Если вы не умеете >настраивать конфиги веб-сервера, то сначала нужно этому научиться. ИМХО, тем кто это всё умеет - ваша панель полезной не будет. Если те, кто это всё умеют - пользуются прямым входом аккаунтом root по SSH ... да еще и соглашаются вбить рут-пароль в какую-то панель, которая потом положит его в MySQL.... нунизнаю. Я в целом не против вашей панели и вашего труда. Своих пользователей оно наверняка найдет, на opennet они толпами ходят. Но вот ваши исходные предпосылки, аргументация и, отчасти, само решение - лично меня не убедили.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Централизованное управление сертификатами Let`s Encrypt"	–1 +/–
	Сообщение от pas9x (ok) on 06-Май-17, 00:45
	> Если бы авторы LE усложнили жизнь разработчикам, вряд ли бы вы легко > и непринужденно наваяли бы свою панель. Я написал её не легко и непринуждённо. Был большой геморрой с протоколом ACME которому не соответствует их-же собственная реализация boulder. > Что именно неудобно? Можете ответить конкретно, аргументированно? У меня много серверов. Неудобно на каждом из них ставить LE-клиента и следить за корректностью работы сертификатов. Неудобно на куче серверов его обновлять. Мне проще чтобы сертификаты на всех серверах управлялись из единого центра. > ...платить за сертификаты. Вы это исправить не запланировали? > ...менять сертификаты вручную раз в ... Может быть ваша панель исправляет это? Вы-бы прежде чем критиковать поинтересовались что это за программа да почитали мануалы. Именно это она и исправляет. Панель по крону автоматически обновляет все сертификаты срок действия которых подходит к концу. И после перевыпуска обновляет их на серверах. > Так какие такие актуальные проблемы решает ваша панель? Проблему отсутствия веб-интерфейса. Когда у тебя куча серверов и веб-панелей то уследить за нормальной работой https на всех серверах становится сложно. Проще рулить всем из веб-интерфейса. > На мой взгляд, как раз таки лезть в какую-то веб-панель для заказа > сертификата - это и есть неудобно. При этом неважно, ваша ли > это панель или панель центра выдачи сертификатов. Ну это ваше личное мнение которое не совпадает с моим и мнением других администраторов которым нужна эта панель. > Что значит - управлять сертификатами? Для меня управление сертификатами заканчивается > сразу по окончанию конфигурации веб-сервера - дальше всё делает автоматика. А у меня нет. Дальше на куче серверов перестаёт работать LE-клиент потому что разрабы LE поменяли протокол и шуруй обновлять клиента на каждом сервере. > В чем обещанный комфорт? В том, что для получения сертификата надо дать > панели рутовый доступ к серверу и вбить еще пяток параметров? > Какие актуальные задачи/проблемы решает ваша панель? Я уже всё объяснил, в том числе на сайте панели. > Интересное предположение. Т.е. на момент того, как админ лезет в панель: > - конфиги веб-сервера таки необходимо поправить; > - конфиги веб-сервера в это время являются сломанными, т.к. ссылаются на несуществующий > файл сертификата. Да, представьте себе, ссылаются. Потому что без проблем можно прописать путь к сертификату в конфиге, и выпустить сертификат в панели с последующей перезагрузкой веб-сервера. Извините, на ваш троллинг отвечать я больше не собираюсь, поскольку очевидно, что ваша задача в данном топике - всячески обосрать мою разработку.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	5. "Централизованное управление сертификатами Let`s Encrypt"	+1 +/–
	Сообщение от PavelR (??) on 06-Май-17, 06:09
	>Проблему отсутствия веб-интерфейса. Когда у тебя куча серверов и веб-панелей то уследить за >нормальной работой https на всех серверах становится сложно. Проще рулить всем из >веб-интерфейса. Мне жаль людей, которым приходится днями и ночами сидеть и втыкать в веб-панель, чтобы следить за нормальной работой https на всех своих трех серверах. LE сделал весьма человеческое уведомление в случае, если автоматика админа не поменяла сертификат, и отправляет его на E-Mail. Этого достаточно для того, чтобы уследить за сроком действия сертификата. Для контроля за нормальной работой https в целом у нормальных админов есть система мониторинга. >Извините, на ваш троллинг отвечать я больше не собираюсь, поскольку очевидно, что ваша >задача в данном топике - всячески обосрать мою разработку. Рано вы в своих комментариях на г-но изошли.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	7. "Централизованное управление сертификатами Let`s Encrypt"	+1 +/–
	Сообщение от ыы on 06-Май-17, 11:20
	> Проблему отсутствия веб-интерфейса. Когда у тебя куча серверов и веб-панелей то уследить > за нормальной работой https на всех серверах становится сложно. Проще рулить > всем из веб-интерфейса. я правильно понимаю, что панель находится гдето в инете, а сами сервера которыми вы управляете- тоже раскиданы гдето по просторам интернета, на разных хостингах, с разными конфигурациями, разным набором софта и разными веб-серверами? каким образом ваша веб-панель лазит на эти сервера? какие права она требует для своей работы на этих серверах? где и как она хранит учетные данные для такового доступа? я правильно понимаю что для работы такой панели у PHP должен быть разрешен exec?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	9. "Централизованное управление сертификатами Let`s Encrypt"	+/–
	Сообщение от pas9x (ok) on 06-Май-17, 12:10
	> я правильно понимаю, что панель находится гдето в инете, а сами сервера > которыми вы управляете- тоже раскиданы гдето по просторам интернета, на разных > хостингах, с разными конфигурациями, разным набором софта и разными веб-серверами? Правильно. Но не обязательно так. Если у хостера свой ДЦ то и управление серверами внутри его сети. И панельку компания естественно поставит где-то внутри своей сети. > каким образом ваша веб-панель лазит на эти сервера? какие права она требует > для своей работы на этих серверах? где и как она хранит > учетные данные для такового доступа? Уважаемый, всё ведь подробно расписано в мануалах :) Панель подключается к внешним серверам по SSH. Не обязательно вбивать в панель рутовый логин+пароль, можно и пользовательский. Просто при юзерском доступе чуть сложнее будет перезагрузить веб-сервер, но это тоже мелочи жизни. > я правильно понимаю что для работы такой панели у PHP должен быть > разрешен exec? Не совсем понял суть вашего вопроса. В PHP есть функция exec(), вот документация к ней: http://php.net/manual/en/function.exec.php Если вы об этой функции - неправильно. Эта функция нигде в панели не используется. Хотя если-бы и использовалась то всёравно не вижу в этом проблемы. После загрузки сертификата на ваш сервер по SSH панель (опционально) может выполнить на вашем сервере какую-нибудь команду, например service httpd reload, чтобы сервер подхватил обновлённый сертификат. Вы можете установить панель на небольшую VPS-ку внутри сети, закрыть ей доступ в интернет и не беспокоиться что злой разработчик внедрит в неё бекдор и украдёт ваши пароли. Кроме того исходники ведь открыты.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "Централизованное управление сертификатами Let`s Encrypt"	+/–
	Сообщение от pas9x (ok) on 06-Май-17, 12:18
	> какие права она требует > для своей работы на этих серверах? где и как она хранит > учетные данные для такового доступа? Веб-приложение (т.е. php-скрипты) работают под обычным пользовательским аккаунтом так-же как CMS на обычном веб-хостинге. А чтобы панель сама продлевала/выгружала сертификаты нужно поставить на ежедневный запуск файл cron.php. Пароли к внешним SSH-серверам хранятся в локальной sqlite-базе в зашифрованном виде (алгоритм AES-256). И да, всё это уже написано в мануалах которые никто упорно не хочет читать :) Возможно с первого взгляда они не совсем понятны; постараюсь написать их более понятным языком. http://pascalhp.net/justencrypt/index.php?p=manual
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

2. "Централизованное управление сертификатами Let`s Encrypt"	+/–
Сообщение от xm (ok) on 05-Май-17, 23:26
Не могу взять в толк, о каких конкретно проблемах LE вы толкуете, а уж, тем более, сложностях в выпуске, установке и обновлении. Уж тут всё автоматизировано донельзя. Разве что отсутствие GUI можно отнести к проблеме. Ограничения же есть. Они разумны и понятны. Можете принимать их или нет - вопрос ваш. По опыту же достаточно один раз установить клиент ACME (выбор тут теперь богатый) настроить сервер(ы), выпустить сертификат и добавить в cron команду запуска обновления и забыть про этот вопрос.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Централизованное управление сертификатами Let`s Encrypt"	+/–
	Сообщение от pas9x (ok) on 06-Май-17, 00:49
	> Не могу взять в толк, о каких конкретно проблемах LE вы толкуете, > а уж, тем более, сложностях в выпуске, установке и обновлении. Уж > тут всё автоматизировано донельзя. При большом количестве серверов/сайтов становится проще рулить сертификатами из одного места. Когда сертификатов много - мне больше нравится веб-интерфейс чем консоль. Кроме того, консольный LE-клиент иногда ломается (когда авторы LE меняют протокол) и становится нужным обновлять клиента на всех серверах, что не очень-то удобно. Проще обновить одну панель чем обновлять клиента на всех серверах. Это особенно актуально, например, для хостинг-провайдеров имеющих большое количество разных веб-панелек.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "Централизованное управление сертификатами Let`s Encrypt"	+1 +/–
	Сообщение от PavelR (??) on 06-Май-17, 06:12
	>> Не могу взять в толк, о каких конкретно проблемах LE вы толкуете, >> а уж, тем более, сложностях в выпуске, установке и обновлении. Уж >> тут всё автоматизировано донельзя. > При большом количестве серверов/сайтов становится проще рулить сертификатами из одного > места. Когда сертификатов много - мне больше нравится веб-интерфейс чем консоль. > Кроме того, консольный LE-клиент иногда ломается (когда авторы LE меняют протокол) > и становится нужным обновлять клиента на всех серверах, что не очень-то > удобно. Проще обновить одну панель чем обновлять клиента на всех серверах. > Это особенно актуально, например, для хостинг-провайдеров имеющих большое количество > разных веб-панелек. Вы забыли взять слова "хостинг-провайдеров" в кавычки.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Централизованное управление сертификатами Let`s Encrypt"	+/–
Сообщение от Вася (??) on 06-Май-17, 11:56
Спасибо, поглядим
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	12. "Централизованное управление сертификатами Let`s Encrypt"	+/–
	Сообщение от pas9x (ok) on 06-Май-17, 18:57
	> Спасибо, поглядим Хоть кто-то сказал спасибо)
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Централизованное управление сертификатами Let`s Encrypt"	+/–
Сообщение от Аноним (??) on 06-Май-17, 16:36
ненужно
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Централизованное управление сертификатами Let`s Encrypt"	+/–
Сообщение от shadow_alone (ok) on 07-Май-17, 11:28
Конечно, может кому и пригодиться, но вот по поводу удобства, это вы зря... Всё отлично сделали,а если у кого-то руки из **** растут, так что он не может все это дело автоматизировать, то, я думаю, это проблема кривизны его рук.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема