letsencrypt

epic · 11 Marzo 2021

Hola a todos, una preguta corta... estos certificados se generan por 3 meses y luego vencen para renovarlo se debe crear una tarea con el comando de renovación, mi consulta es: si los genero y luego copio ese certificado a otra maquina para usarlos y pasan los 3 meses que sucede?? ya que en esta maquina solo estarían los cert pero no todo el proceso de generacion y el comando para renovarlos.

Tendría que hacer todo el proceso en cada una de las maquinas donde vaya a utilizar los certificados para que se realice la renovación en todas las maquinas? o hacerlo en la primera maquina y luego reemplazar todos los certificados de la maquina 1 a las demás? o al renovarlos en la maquina 1 automáticamente todas estas quedan OK , ya que no genera nuevos certificados y solo en la unidad certificadora se actualizan?

¿como es el proceso de renovación de letsencrypt?

Gracias!

MauricioSoto · 11 Marzo 2021

Para generar los certificados SI O SI lo tienes que hacer en alguna maquina con algun tipo de conectividad a internet, pues letsencrypt luego te pide validar que eres dueño del host ya sea por HTTPS o Por algun cambio a nivel de tu DNS. Una vez que hagas eso te puedes llevar el certificado a otra maquina pero debes además llevarte la llave privada del servidor donde generaste la solicitud e instalar ambas cosas en el servidor de destino. (Va a ser una paja manual a realizar cada 3 meses multiplicada por la cantidad de servidores que tengas).

Si todas tus maquinas tienen conectividad internet y escuchan en las correspondientes IP asociadas a hosts inscritos en el DNS, y el software de servidor web soporta letsencrypt, lo mas probable es que te convenga configurarlo en todos lados de manera automatizada y dejarlos así por siempre.

- En Windows https://certifytheweb.com/ te hace la pega casi automático

- Si tus servidores son basados en linux, lo mas oficial es usar https://certbot.eff.org/

epic · 11 Marzo 2021

si, lo hice en una maquina con certbot y quedo corriendo ese sitio web con el certificado wildcard y con la auto renovación, pero claro mi duda era si agarro esos cert y los llevo a otras maquinas como funcionaba la renovación en estas nuevas maquina... para evitar tanto leseo quizás convenga comprar un certificado pro 2 años.

MauricioSoto · 11 Marzo 2021

Ahi tienes que ver que te conviene mas.. en el mundo linux es relativamente sencillo replicar el certificado, la llave y probablemente la cadena de certificados entre servidores y luego reiniciar el servicio httpd. Cuando tienes una jungla de cosas linux, docker, clouds, appliances y windows ya no es tan sencillo y hay que sopesar cual es la mejor relación costo beneficio y si vale la pena darse el trabajo cada 3 meses.

unreal4u · 12 Marzo 2021

No será más fácil correr un proxy transparente en la máquina que pide el wildcard? Yo lo hago así para ir a servicios en varias máquinas distintas.

La otra opción es que cada máquina genere su propio certificado. Yo lo hago así con mi firewall: ese genera su propio certificado, a pesar de que una máquina más abajo genera una wildcard. Era más fácil hacer eso que estar copiando archivos arriba y abajo.

Saludos.

Miguelwill · 12 Marzo 2021

apoyo la moción del proxy reverso con toda violencia

centralizar varios sitios en un proxy reverso ayuda a mantener centralizada la gestión de los certificados, solo te preocupas de un solo servidor (o solo un par) y sólo te preocupas de que la ruta de cada certificado quede disponible para que el proxy la pueda usar, y que en cada renovación, el proxy sea recargado

frosstatx · 12 Marzo 2021

Miguelwill dijo:
apoyo la moción del proxy reverso con toda violencia

centralizar varios sitios en un proxy reverso ayuda a mantener centralizada la gestión de los certificados, solo te preocupas de un solo servidor (o solo un par) y sólo te preocupas de que la ruta de cada certificado quede disponible para que el proxy la pueda usar, y que en cada renovación, el proxy sea recargado

Pon una maquina con nginx que valide os certificados con certbot y en su configuración redireccionas a la maquina que corresponde...

unreal4u · 12 Marzo 2021

Miguelwill dijo:
apoyo la moción del proxy reverso con toda violencia

centralizar varios sitios en un proxy reverso ayuda a mantener centralizada la gestión de los certificados, solo te preocupas de un solo servidor (o solo un par) y sólo te preocupas de que la ruta de cada certificado quede disponible para que el proxy la pueda usar, y que en cada renovación, el proxy sea recargado

xuxa reverse proxy, no transparent proxy quise decir hahahah (reverso en el sentido de que el request se puede cambiar antes de terminar en su destino)

bueno, se entendió la idea :dalomismo

Saludos.

MauricioSoto · 12 Marzo 2021

frosstatx dijo:
Pon una maquina con nginx que valide os certificados con certbot y en su configuración redireccionas a la maquina que corresponde...

Es una bonita opción, igual siempre depende de cuantos sitios físicos tienes, que tantas cosas tienes en la nube y que tan dispuesto estás a tener un único punto de falla. También puede ser una mezcla. Y finalmente ver los costos asociados, horas hombre en aplicar certificados, horas hombre en automatizar la replicación o horas de computo en el caso de tener una maquina dedicada a la aceleración SSL

epic · 12 Marzo 2021

claro , el tema es que habrán como 5 maquinas en distintos docker, lo mas probable es que haya un proxy reverso, pero no se aun como se comuniquen estos servicios... en su momento tuve 2 maquinas (una api y una web) que de igual forma aunque estuvieran bajo un proxy reverso les tuve que configurar en su apache interno los certificados, porque fallaban algunas conexiones SSL entre ellos.

cada maquina puede generar el mismo certificado wildcard?? osea maquina 1, maquina 2 y maquina 3 de manera independiente generar el *.dominio.cl ?? y luego que cada una las renueve cada cierto tiempo?

Si es así podría ser una forma o de lleno comprar un certificado de 2 años.

Gracias.

unreal4u · 12 Marzo 2021

epic dijo:
claro , el tema es que habrán como 5 maquinas en distintos docker, lo mas probable es que haya un proxy reverso, pero no se aun como se comuniquen estos servicios... en su momento tuve 2 maquinas (una api y una web) que de igual forma aunque estuvieran bajo un proxy reverso les tuve que configurar en su apache interno los certificados, porque fallaban algunas conexiones SSL entre ellos.

cada maquina puede generar el mismo certificado wildcard?? osea maquina 1, maquina 2 y maquina 3 de manera independiente generar el *.dominio.cl ?? y luego que cada una las renueve cada cierto tiempo?

Si es así podría ser una forma o de lleno comprar un certificado de 2 años.

Gracias.

yo tengo ~18 imágenes corriendo en docker por varias máquinas... pero todas pasan por el proxy reverso donde genero el wildcard certificate, tu situación está como hecho para ese caso jajaj

Si las imágenes corren todas en una misma intranet, no necesitas pasar por el proxy. Incluso podrías considerar usar Docker Swarm, el cual funciona muy parecido a docker-compose, pero a nivel de varias máquinas. Si necesitas acceso a la base de datos que está corriendo en otro nodo, simplemente la llamas por el nombre que configuraste. Docker se encargará de elegir la mejor ruta para llegar a su destino.

Cada máquina puede generar de todas formas su propio certificado. No he testeado si funciona con un wildcard, pero lo que hice fue generar el wildcard en una máquina, y en otra específica generé el subdominio específico.

Saludos.

K3rnelpanic · 12 Marzo 2021

unreal4u dijo:
No será más fácil correr un proxy transparente en la máquina que pide el wildcard? Yo lo hago así para ir a servicios en varias máquinas distintas.

La otra opción es que cada máquina genere su propio certificado. Yo lo hago así con mi firewall: ese genera su propio certificado, a pesar de que una máquina más abajo genera una wildcard. Era más fácil hacer eso que estar copiando archivos arriba y abajo.

Saludos.

Será proxy reverso?

MauricioSoto · 12 Marzo 2021

Si tienes todos tus servicios en contenedores, una forma sencilla es usar este contenedor al cual es relativamente facil de agregarle SSL y poner ilimitados servidores atrás.

Docker

hub.docker.com

epic · 12 Marzo 2021

MauricioSoto dijo:
Si tienes todos tus servicios en contenedores, una forma sencilla es usar este contenedor al cual es relativamente facil de agregarle SSL y poner ilimitados servidores atrás.

Docker

hub.docker.com

si, ese mismo uso.

MauricioSoto · 12 Marzo 2021

epic dijo:
si, ese mismo uso.

Estonces estas al otro lado.. ese contenedor utiliza 3 archivos por cada wilcard, la key, el certificado crt y otro archivo que contiene la cadena de certificados. Cada vez que lo renueves lo copias a los otros servidores en las ubicaciones y nombres correspondientes y luego haces rebuild de tu contenedor nginx-proxy.

Miguelwill · 13 Marzo 2021

para el caso de contenedores, cada contenedor/sitio interno puede usar un certificado autofirmado genérico que ya este incluido en la imagen (o montado para actualizarlo por fuera de la imagen) y asi mantener todo el proceso via conexiones HTTPS (hay sitios que revisan como llega la conexion, y si llega via http, mandan un refresh que puede quedar en loop) , y el proxy reverso (nginx, traefic, etc ) son los únicos que necesitan tener el certificado valido real, ya que son los que reciben las conexiones desde los navegadores de los clientes/usuarios

basicamente el proxy-reverso no necesita verificar el certificado del backend, solo cifra la conexion con el certificado propuesto

epic · 17 Marzo 2021

Gracias por los post... veré que hago con e tema de los certificados ya que aun no toca eso.

letsencrypt

epic

Pro

MauricioSoto

Miembro Activo

epic

Pro

MauricioSoto

Miembro Activo

unreal4u

I solve problems.

Miguelwill

I am online

frosstatx

AMD EX-NV Y LINUX FANBOY

unreal4u

I solve problems.

MauricioSoto

Miembro Activo

epic

Pro

unreal4u

I solve problems.

K3rnelpanic

non serviam

MauricioSoto

Miembro Activo

Docker

epic

Pro

Docker

MauricioSoto

Miembro Activo

Miguelwill

I am online

epic

Pro