Lua-resty-auto-ssl: वाइल्डकार्ड प्रमाणपत्र

को निर्मित 10 अक्तू॰ 2017 · 16टिप्पणियाँ · स्रोत: auto-ssl/lua-resty-auto-ssl

नमस्ते,
बस सोच रहा था कि जनवरी में वाइल्डकार्ड जारी करने में अपडेट होने में कितना समय लगेगा? आपको लगता है कि यह एक बड़ा बदलाव है?

enhancement

स्रोत

byrnedo

👍7

सबसे उपयोगी टिप्पणी

कोड से मैं जो समझता हूं, उससे यह संभव नहीं है। हम प्रत्येक sub.domain.tld के लिए स्टोरेज इंटरफेस में निम्नलिखित चेक आसानी से जोड़ सकते हैं:

sub.domain.tld:latest — वर्तमान
*.domain.tld:latest
*.sub.domain.tld:latest

इस तरह, हम वाइल्डकार्ड की ओर पहला कदम बढ़ा सकते हैं, अभी के लिए केवल पहले से जेनरेट किए गए प्रमाणपत्रों का समर्थन करते हैं। ऐसा करने के बाद, हम आगे बढ़ सकते हैं और वाइल्डकार्ड प्रमाणपत्रों के निर्माण का समर्थन करने का एक अच्छा तरीका तय कर सकते हैं, अगर हम तय करते हैं कि हम ऐसा करना चाहते हैं।

संपादित करें: मुझे उपरोक्त के कार्यान्वयन को खरोंचने में खुशी होगी।

akalipetis 21 मई 2018

👍2

सभी 16 टिप्पणियाँ

मैं रेपो मेंटेनर नहीं हूं लेकिन मेरा कहना है कि इसे जोड़ना आसान नहीं है। LE वाइल्डकार्ड प्रमाणपत्रों के लिए DNS सत्यापन की आवश्यकता होगी, और अभी lua-resty-auto-ssl http सत्यापन का उपयोग करता है।

dvigueras 10 अक्तू॰ 2017

वाइल्डकार्ड पर विचार न करते हुए भी DNS सत्यापन अच्छा होगा। कुछ विचार:

हमें पहले ACMEv2 समर्थन प्राप्त करने के लिए निर्जलित होने की प्रतीक्षा करनी होगी: निर्जलित#420
निर्जलित पहले से ही (ACMEv1) dns-01 चुनौती का समर्थन करता है । वर्तमान ACMEv2 मसौदे में dns-01 चुनौती मेरे समान या लगभग समान दिखती है।
deploy_challenge निर्जलित हुक एक डोमेन और एक टोकन को TXT रिकॉर्ड में लिखे जाने की आपूर्ति करता है।
चूंकि हम नहीं जानते कि उपयोगकर्ता अपने डीएनएस रिकॉर्ड कैसे प्रबंधित कर रहे हैं, इसलिए इस हिस्से को सामान्य होना चाहिए।
1. लोकप्रिय डीएनएस एपीआई का समर्थन करें। हमें कम से कम "मानक" एपीआई का समर्थन करने के लिए बुनियादी ढांचे को जोड़ना चाहिए जैसे कि PowerDNS, CloudFlare या यहां तक कि nsupdate द्वारा प्रदान किया गया। इस मामले में हमारी सेटिंग्स में केवल किसी प्रकार के प्रमाणीकरण टोकन की आवश्यकता होती है।
2. उपयोगकर्ताओं को उन रिकॉर्ड्स को सेट करने के लिए एक कस्टम समाधान की आवश्यकता होगी, जैसे किसी मालिकाना API से बात करना या यहां तक कि गंदी शेल स्क्रिप्ट को कॉल करना। हमें उन मामलों के लिए एक सामान्य हुक प्रदान करना चाहिए:
  
  -- Define a function to store the validation tokens for DNS verification -- by let's encrypt in your DNS setup. auto_ssl:set("deploy_dns_challenge", function(domain, token) -- talk to your DNS-API to create a new TXT record _acme-challenge.$domain with value $token end)
भंडारण परत वर्तमान में मानती है कि यह प्रमाणपत्र प्राप्त करने के लिए एक कुंजी के रूप में पूरे डोमेन का उपयोग कर सकती है। यह अब सच नहीं रहेगा। मेरा पहला विचार वाइल्डकार्ड को parentdomain.com:wildcard:latest के रूप में स्टोर करना है और स्टोरेज लेयर को उस कुंजी की जांच करना है यदि कोई ठोस प्रमाणपत्र नहीं मिला है।

प्रशन:

हम कैसे जान सकते हैं कि सामान्य या वाइल्डकार्ड प्रमाणपत्र जेनरेट करना है या नहीं? एक नया उपयोगकर्ता-परिभाषित फ़ंक्शन is_wildcard_domain ? मौजूदा allow_domain के लिए एक नया वापसी मूल्य?
क्या हम एक ही समय में DNS (वाइल्डकार्ड के लिए) और HTTP (सामान्य प्रमाणपत्रों के लिए) सत्यापन का समर्थन करते हैं, या दोनों के लिए केवल DNS का समर्थन करते हैं? ध्यान दें कि HTTP बहुत तेज़ हो सकता है, क्योंकि हम सभी गतिशील भागों को नियंत्रित करते हैं।

luto 25 दिस॰ 2017

👍1

FYI करें: अब ACMEv2 स्टेजिंग एंडपॉइंट उपलब्ध है। :)

luto 7 जन॰ 2018

वर्तमान ACMEv2 मसौदे में dns-01 चुनौती मेरे समान या लगभग समान दिखती है।

आप सही कह रहे हैं :-) V1 और V2 API के बीच DNS-01 चुनौती में कुछ भी नहीं बदला है।

cpu 7 जन॰ 2018

FYI करें: कम से कम निर्जलित का विकास संस्करण अब ACMEv2 के साथ-साथ वाइल्डकार्ड प्रमाणपत्रों का समर्थन करता है। अगर कोई इस पर काम करना शुरू करना चाहता है, तो अब आपके लिए मौका है;)

luto 23 जन॰ 2018

मुझे लगता है कि DNS सत्यापन करने वाले Resty-auto-ssl पूरी तरह से दायरे से बाहर है।
हालांकि, हमारे लिए यह संभव होना चाहिए कि हम रेस्टी-ऑटो-एसएसएल को "आउट ऑफ बैंड" कॉन्फ़िगर किए गए वाइल्डकार्ड प्रमाणपत्र पर वापस ले आएं।
उदाहरण के लिए मैं एक डोमेन के लिए वाइल्डकार्ड प्रमाणपत्र करने के लिए बाइंड9 और सर्टिफिकेट का उपयोग करके अपनी सेवा स्थापित करने जा रहा हूं। अभी मुझे नहीं लगता कि मैं एक उत्पन्न करने की कोशिश करने के बजाय उस वाइल्डकार्ड प्रमाणपत्र का उपयोग करने के लिए आराम-ऑटो-एसएसएल को बता सकता हूं।

संपादित करें: ठीक है, यह उस दायरे से बाहर नहीं है । मुझे नहीं पता था कि एक कस्टम डीएनएस एपीआई में हुक करने के लिए निर्जलित मैन्युअल स्क्रिप्ट के साथ कॉन्फ़िगर किया जा सकता है ...

kapouer 13 मार्च 2018

क्या मैन्युअल रूप से जेनरेट किए गए वाइल्डकार्ड एलई प्रमाणपत्र को रेडिस में स्टोर करने का कोई तरीका है ताकि रेस्टी-ऑटो-एसएसएल इसका इस्तेमाल कर सके?

Laboltus 7 मई 2018

sub.domain.tld:latest — वर्तमान
*.domain.tld:latest
*.sub.domain.tld:latest

संपादित करें: मुझे उपरोक्त के कार्यान्वयन को खरोंचने में खुशी होगी।

akalipetis 21 मई 2018

👍2

@akalipetis क्या आपने यह देखने की कोशिश की कि क्या सेटिंग

ssl_options.fullchain_der
ssl_options.privkey_der

allow_domain में काम करेगा?
यदि यह संभव है तो आप allow_domain में एक रेडिस अनुरोध कर सकते हैं और उन्हें सेट कर सकते हैं।

kapouer 18 जन॰ 2019

रिकॉर्ड के लिए मैंने अभी इस मुद्दे को मारा है, मैं अपनी निगरानी सेवा पर कस्टम डोमेन स्थिति पृष्ठों के लिए प्रमाणपत्र उत्पन्न करने के लिए lua-resty-auto-ssl का उपयोग करता हूं और अधिकांश लोग xxxx.status.updown.io जैसे मेरे अपने डोमेन का उपयोग करेंगे जिसके लिए यह अधिक कुशल है वाइल्डकार्ड प्रमाणपत्र का उपयोग करने के लिए।

मैंने allow_domain *status.updown.io लिए प्रमाणित पीढ़ी को छोड़ने के लिए इसे हासिल किया:

auto_ssl:set("allow_domain", function(domain)
  return not ngx.re.match(domain, "status.updown.io$", "ijo")
end)

और फिर वाइल्डकार्ड को डिफ़ॉल्ट फ़ॉलबैक प्रमाणपत्र के रूप में प्रदान किया:

ssl_certificate /etc/letsencrypt/live/status.updown.io/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/status.updown.io/privkey.pem;

मैंने डीएनएस चुनौती का उपयोग करके मैन्युअल रूप से प्रमाण पत्र तैयार किया है:

sudo certbot certonly --manual -d *.status.updown.io --agree-tos --no-bootstrap --manual-public-ip-logging-ok

मुझे यकीन नहीं है कि इसे स्वचालित करने में अपना समय व्यतीत करना उचित है क्योंकि यह DNS चुनौती के साथ जटिल दिखता है। यह कम तकनीक है लेकिन यह अपेक्षा के अनुरूप काम करता है :)

jarthod 30 सित॰ 2019

यह एक अच्छा समाधान है, और एक जो कई उपयोग के मामलों पर लागू होता है।
हालाँकि ध्यान रखें कि https://github.com/AnalogJ/lexicon के साथ DNS चुनौती को बहुत आसान बना दिया गया है!
यह अच्छी तरह से काम करता है और बहुत सारे प्रदाताओं का समर्थन करता है। मैंने उनमें से एक को भी जोड़ा और प्रक्रिया हास्यास्पद रूप से आसान है।

kapouer 30 सित॰ 2019

👍1

@kapouer टिप के लिए lexicon के लिए धन्यवाद, अगर मैं स्वचालित करना चाहता हूं तो इसे ध्यान में रखेगा;)

jarthod 30 सित॰ 2019

रिकॉर्ड के लिए मैंने अभी इस मुद्दे को मारा है, मैं अपनी निगरानी सेवा पर कस्टम डोमेन स्थिति पृष्ठों के लिए प्रमाणपत्र उत्पन्न करने के लिए lua-resty-auto-ssl का उपयोग करता हूं और अधिकांश लोग xxxx.status.updown.io जैसे मेरे अपने डोमेन का उपयोग करेंगे जिसके लिए यह अधिक कुशल है वाइल्डकार्ड प्रमाणपत्र का उपयोग करने के लिए।
मैंने allow_domain *status.updown.io लिए प्रमाणित पीढ़ी को छोड़ने के लिए इसे हासिल किया:
auto_ssl:set("allow_domain", function(domain)
  return not ngx.re.match(domain, "status.updown.io$", "ijo")
end)
और फिर वाइल्डकार्ड को डिफ़ॉल्ट फ़ॉलबैक प्रमाणपत्र के रूप में प्रदान किया:
ssl_certificate /etc/letsencrypt/live/status.updown.io/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/status.updown.io/privkey.pem;
मैंने डीएनएस चुनौती का उपयोग करके मैन्युअल रूप से प्रमाण पत्र तैयार किया है:
sudo certbot certonly --manual -d *.status.updown.io --agree-tos --no-bootstrap --manual-public-ip-logging-ok
मुझे यकीन नहीं है कि इसे स्वचालित करने में अपना समय व्यतीत करना उचित है क्योंकि यह DNS चुनौती के साथ जटिल दिखता है। यह कम तकनीक है लेकिन यह अपेक्षा के अनुरूप काम करता है :)

मैं अपने ऐप के लिए भी उसी तरह का डोमेन चेक कर रहा हूं। यदि उपयोगकर्ता के पोर्टल होस्ट में हमारे "स्वयं" डोमेन में से एक है, तो हम एक स्थिर सीए से वाइल्डकार्ड प्रमाणपत्रों का उपयोग करने के लिए वापस लौटते हैं। लेकिन मुझे अभी भी LE का उपयोग करने और वाइल्डकार्ड को मैन्युअल रूप से उत्पन्न करने का आपका विचार पसंद है।

मैं इसका परीक्षण करने जा रहा हूं।

अद्यतन
ठीक है, यह वह समाधान है जो वास्तव में वही करता है जो मैं चाहता हूं। क्लाउडफ्लेयर प्लगइन। डॉक्स बहुत अच्छे हैं। मैंने इसे एक या दो घंटे के भीतर काम कर लिया था।

https://certbot-dns-cloudflare.readthedocs.io/en/stable/

gtmadev 1 अक्तू॰ 2020

👍1

@jarthod इसे स्वचालित करने के लिए कोई अन्य समाधान? वाइल्डकार्ड को हर 3 महीने में नवीनीकृत करना याद रखना वास्तव में दर्द है।

adityapatadia 3 अक्तू॰ 2020

@jarthod इसे स्वचालित करने के लिए कोई अन्य समाधान? वाइल्डकार्ड को हर 3 महीने में नवीनीकृत करना याद रखना वास्तव में दर्द है।

मेरी तरफ से नहीं, मैं अभी भी इसका उपयोग कर रहा हूं और हर 3 महीने में मैनुअल नवीनीकरण कर रहा हूं। याद रखना मेरे लिए कोई समस्या नहीं है क्योंकि मैं समापन बिंदु की निगरानी के लिए अपनी सेवा (updown.io) का उपयोग कर रहा हूं और जब प्रमाणपत्र समाप्त होने वाला होता है तो यह मुझे सचेत करता है।

jarthod 3 अक्तू॰ 2020

मैं भी आपकी सेवा का उपयोगकर्ता हूं। वैसे भी मैं आगे बढ़ गया और पारंपरिक 1 साल का वाइल्डकार्ड एसएसएल मिला।

अब आपकी सेवा में अगले साल मुझे याद दिलाने का काम है

03-अक्टूबर-2020 को, रात 10:30 बजे, एड्रियन रे-जेर्थन नोटिफिकेशन @github.com ने लिखा:
राय
@jarthod इसे स्वचालित करने के लिए कोई अन्य समाधान? वाइल्डकार्ड को हर 3 महीने में नवीनीकृत करना याद रखना वास्तव में दर्द है।
मेरी तरफ से नहीं, मैं अभी भी इसका उपयोग कर रहा हूं और हर 3 महीने में मैनुअल नवीनीकरण कर रहा हूं। याद रखना मेरे लिए कोई समस्या नहीं है क्योंकि मैं समापन बिंदु की निगरानी के लिए अपनी सेवा (updown.io) का उपयोग कर रहा हूं और जब प्रमाणपत्र समाप्त होने वाला होता है तो यह मुझे सचेत करता है।
-
आप इसे प्राप्त कर रहे हैं क्योंकि आपने टिप्पणी की थी।
इस ईमेल का सीधे उत्तर दें, इसे GitHub पर देखें, या सदस्यता समाप्त करें।

adityapatadia 3 अक्तू॰ 2020

👍1

क्या यह पृष्ठ उपयोगी था?

0 / 5 - 0 रेटिंग्स

Lua-resty-auto-ssl: वाइल्डकार्ड प्रमाणपत्र

सबसे उपयोगी टिप्पणी

सभी 16 टिप्पणियाँ

संबंधित मुद्दों