- Централизованное управление сертификатами Let`s Encrypt,
 PavelR, 22:17 , 05-Май-17 (1) +2 > Причём удобство не просто нулевое, у меня складывается впечатление, что авторы LE
> целенаправленно усложнили жизнь и пользователям сертификатов и разработчикам. Если бы авторы LE усложнили жизнь разработчикам, вряд ли бы вы легко и непринужденно наваяли бы свою панель. > На данный момент почти все администраторы используют LE либо посредством консоли
>(certbot), либо в веб-интерфейсе панели управления хостингом (ISPmanager, VestaCP),
> или-же используют ещё какие-то костыли. Всё это неудобно. Что именно неудобно? Можете ответить конкретно, аргументированно? > Люди традиционно привыкли... ...платить за сертификаты. Вы это исправить не запланировали?
...менять сертификаты вручную раз в ... Может быть ваша панель исправляет это? > заказывать сертификат в веб-панели, на длительный срок, с
> поддоменом www, с поддержкой wildcard и прочими удобствами. С какими такими удобствами заказывается сертификат в веб-панелях?
Я как-то их там особо не замечал. Сначала где-то CSR составь, залей его в панель, получи файл верификации и потом залей на свой сервер вручную, дождись пока тебя проверят, скачай сертификат - это называется удобство? Не встречал проблем с получением поддомена www в случае использования LE. И поддержку wildcard вы не реализуете тоже. Так какие такие актуальные проблемы решает ваша панель? Я не говорю, что никаких проблем у LE нет.
Они есть, но для меня ваша панель вряд ли станет инструментом, решающим эти проблемы. На мой взгляд, как раз таки лезть в какую-то веб-панель для заказа сертификата - это и есть неудобно. При этом неважно, ваша ли это панель или панель центра выдачи сертификатов. > Всего этого у Let`s Encrypt нет и это нужно исправить хотябы частично. Потому я
> решил написать веб-панель в которой-бы можно было управлять сертификатами LE максимально
> комфортно. Что значит - управлять сертификатами? Для меня управление сертификатами заканчивается сразу по окончанию конфигурации веб-сервера - дальше всё делает автоматика. В чем обещанный комфорт? В том, что для получения сертификата надо дать панели рутовый доступ к серверу и вбить еще пяток параметров? Какие актуальные задачи/проблемы решает ваша панель? На мой взгляд, вписать _одну_ нужную строчку (список хостов сертификата) в файлик со списком сертификатов и выполнить _одну_ простую команду в консоли - гораздо проще, чем лезть в какую-либо панель. Цитата из документации Панели: >Предполагается, что в конфигах веб-сервера уже прописаны пути к файлам сертификата. В
>панели JustEncrypt вам нужно указать путь к файлу в который будет сохранён сертификат. Интересное предположение. Т.е. на момент того, как админ лезет в панель: - конфиги веб-сервера таки необходимо поправить;
- конфиги веб-сервера в это время являются сломанными, т.к. ссылаются на несуществующий файл сертификата. Отличное решение, не находите? Если конфиги веб-сервера необходимо править, значит ты уже в консоли сервера.
В этой же консоли прекрасно добавляется одна строка в нужный файл конфигурации (certbot или кто там что использует), выполняется одна консольная команда и всё - сертификат получен и лежит в стандартном ожидаемом месте со стандартным ожидаемым именем. При этом не надо лезть ни в какие панели и увеличивать пробег мыши с непонятными целями. Позиционирование вашей панели также какое-то странное: >Важно: панель JustEncrypt предназначена для системных администраторов имеющих опыт работы
>с сервером по SSH и опыт настройки веб-сервера путём правки конфигов. Если вы не умеете
>настраивать конфиги веб-сервера, то сначала нужно этому научиться. ИМХО, тем кто это всё умеет - ваша панель полезной не будет. Если те, кто это всё умеют - пользуются прямым входом аккаунтом root по SSH ... да еще и соглашаются вбить рут-пароль в какую-то панель, которая потом положит его в MySQL.... нунизнаю. Я в целом не против вашей панели и вашего труда.
Своих пользователей оно наверняка найдет, на opennet они толпами ходят.
Но вот ваши исходные предпосылки, аргументация и, отчасти, само решение - лично меня не убедили.
- Централизованное управление сертификатами Let`s Encrypt, pas9x, 00:45 , 06-Май-17 (3) –1
> Если бы авторы LE усложнили жизнь разработчикам, вряд ли бы вы легко
> и непринужденно наваяли бы свою панель.Я написал её не легко и непринуждённо. Был большой геморрой с протоколом ACME которому не соответствует их-же собственная реализация boulder. > Что именно неудобно? Можете ответить конкретно, аргументированно? У меня много серверов. Неудобно на каждом из них ставить LE-клиента и следить за корректностью работы сертификатов. Неудобно на куче серверов его обновлять. Мне проще чтобы сертификаты на всех серверах управлялись из единого центра. > ...платить за сертификаты. Вы это исправить не запланировали?
> ...менять сертификаты вручную раз в ... Может быть ваша панель исправляет это? Вы-бы прежде чем критиковать поинтересовались что это за программа да почитали мануалы. Именно это она и исправляет. Панель по крону автоматически обновляет все сертификаты срок действия которых подходит к концу. И после перевыпуска обновляет их на серверах. > Так какие такие актуальные проблемы решает ваша панель? Проблему отсутствия веб-интерфейса. Когда у тебя куча серверов и веб-панелей то уследить за нормальной работой https на всех серверах становится сложно. Проще рулить всем из веб-интерфейса. > На мой взгляд, как раз таки лезть в какую-то веб-панель для заказа
> сертификата - это и есть неудобно. При этом неважно, ваша ли
> это панель или панель центра выдачи сертификатов. Ну это ваше личное мнение которое не совпадает с моим и мнением других администраторов которым нужна эта панель. > Что значит - управлять сертификатами? Для меня управление сертификатами заканчивается
> сразу по окончанию конфигурации веб-сервера - дальше всё делает автоматика. А у меня нет. Дальше на куче серверов перестаёт работать LE-клиент потому что разрабы LE поменяли протокол и шуруй обновлять клиента на каждом сервере. > В чем обещанный комфорт? В том, что для получения сертификата надо дать
> панели рутовый доступ к серверу и вбить еще пяток параметров?
> Какие актуальные задачи/проблемы решает ваша панель? Я уже всё объяснил, в том числе на сайте панели. > Интересное предположение. Т.е. на момент того, как админ лезет в панель:
> - конфиги веб-сервера таки необходимо поправить;
> - конфиги веб-сервера в это время являются сломанными, т.к. ссылаются на несуществующий
> файл сертификата. Да, представьте себе, ссылаются. Потому что без проблем можно прописать путь к сертификату в конфиге, и выпустить сертификат в панели с последующей перезагрузкой веб-сервера.
Извините, на ваш троллинг отвечать я больше не собираюсь, поскольку очевидно, что ваша задача в данном топике - всячески обосрать мою разработку.
- Централизованное управление сертификатами Let`s Encrypt, PavelR, 06:09 , 06-Май-17 (5) +1
>Проблему отсутствия веб-интерфейса. Когда у тебя куча серверов и веб-панелей то уследить за
>нормальной работой https на всех серверах становится сложно. Проще рулить всем из
>веб-интерфейса.Мне жаль людей, которым приходится днями и ночами сидеть и втыкать в веб-панель, чтобы следить за нормальной работой https на всех своих трех серверах. LE сделал весьма человеческое уведомление в случае, если автоматика админа не поменяла сертификат, и отправляет его на E-Mail. Этого достаточно для того, чтобы уследить за сроком действия сертификата. Для контроля за нормальной работой https в целом у нормальных админов есть система мониторинга. >Извините, на ваш троллинг отвечать я больше не собираюсь, поскольку очевидно, что ваша
>задача в данном топике - всячески обосрать мою разработку. Рано вы в своих комментариях на г-но изошли.
- Централизованное управление сертификатами Let`s Encrypt, ыы, 11:20 , 06-Май-17 (7) +1
> Проблему отсутствия веб-интерфейса. Когда у тебя куча серверов и веб-панелей то уследить
> за нормальной работой https на всех серверах становится сложно. Проще рулить
> всем из веб-интерфейса.я правильно понимаю, что панель находится гдето в инете, а сами сервера которыми вы управляете- тоже раскиданы гдето по просторам интернета, на разных хостингах, с разными конфигурациями, разным набором софта и разными веб-серверами? каким образом ваша веб-панель лазит на эти сервера? какие права она требует для своей работы на этих серверах? где и как она хранит учетные данные для такового доступа? я правильно понимаю что для работы такой панели у PHP должен быть разрешен exec?
- Централизованное управление сертификатами Let`s Encrypt, pas9x, 12:10 , 06-Май-17 (9)
> я правильно понимаю, что панель находится гдето в инете, а сами сервера
> которыми вы управляете- тоже раскиданы гдето по просторам интернета, на разных
> хостингах, с разными конфигурациями, разным набором софта и разными веб-серверами?Правильно. Но не обязательно так. Если у хостера свой ДЦ то и управление серверами внутри его сети. И панельку компания естественно поставит где-то внутри своей сети. > каким образом ваша веб-панель лазит на эти сервера? какие права она требует
> для своей работы на этих серверах? где и как она хранит
> учетные данные для такового доступа? Уважаемый, всё ведь подробно расписано в мануалах :) Панель подключается к внешним серверам по SSH. Не обязательно вбивать в панель рутовый логин+пароль, можно и пользовательский. Просто при юзерском доступе чуть сложнее будет перезагрузить веб-сервер, но это тоже мелочи жизни. > я правильно понимаю что для работы такой панели у PHP должен быть
> разрешен exec? Не совсем понял суть вашего вопроса. В PHP есть функция exec(), вот документация к ней: http://php.net/manual/en/function.exec.php
Если вы об этой функции - неправильно. Эта функция нигде в панели не используется. Хотя если-бы и использовалась то всёравно не вижу в этом проблемы. После загрузки сертификата на ваш сервер по SSH панель (опционально) может выполнить на вашем сервере какую-нибудь команду, например service httpd reload, чтобы сервер подхватил обновлённый сертификат. Вы можете установить панель на небольшую VPS-ку внутри сети, закрыть ей доступ в интернет и не беспокоиться что злой разработчик внедрит в неё бекдор и украдёт ваши пароли. Кроме того исходники ведь открыты.
- Централизованное управление сертификатами Let`s Encrypt, pas9x, 12:18 , 06-Май-17 (10)
> какие права она требует
> для своей работы на этих серверах? где и как она хранит
> учетные данные для такового доступа?Веб-приложение (т.е. php-скрипты) работают под обычным пользовательским аккаунтом так-же как CMS на обычном веб-хостинге. А чтобы панель сама продлевала/выгружала сертификаты нужно поставить на ежедневный запуск файл cron.php.
Пароли к внешним SSH-серверам хранятся в локальной sqlite-базе в зашифрованном виде (алгоритм AES-256).
И да, всё это уже написано в мануалах которые никто упорно не хочет читать :) Возможно с первого взгляда они не совсем понятны; постараюсь написать их более понятным языком. http://pascalhp.net/justencrypt/index.php?p=manual
- Централизованное управление сертификатами Let`s Encrypt, xm, 23:26 , 05-Май-17 (2)
Не могу взять в толк, о каких конкретно проблемах LE вы толкуете, а уж, тем более, сложностях в выпуске, установке и обновлении. Уж тут всё автоматизировано донельзя.
Разве что отсутствие GUI можно отнести к проблеме.
Ограничения же есть. Они разумны и понятны. Можете принимать их или нет - вопрос ваш.
По опыту же достаточно один раз установить клиент ACME (выбор тут теперь богатый) настроить сервер(ы), выпустить сертификат и добавить в cron команду запуска обновления и забыть про этот вопрос.
- Централизованное управление сертификатами Let`s Encrypt, pas9x, 00:49 , 06-Май-17 (4)
> Не могу взять в толк, о каких конкретно проблемах LE вы толкуете,
> а уж, тем более, сложностях в выпуске, установке и обновлении. Уж
> тут всё автоматизировано донельзя.При большом количестве серверов/сайтов становится проще рулить сертификатами из одного места. Когда сертификатов много - мне больше нравится веб-интерфейс чем консоль. Кроме того, консольный LE-клиент иногда ломается (когда авторы LE меняют протокол) и становится нужным обновлять клиента на всех серверах, что не очень-то удобно. Проще обновить одну панель чем обновлять клиента на всех серверах. Это особенно актуально, например, для хостинг-провайдеров имеющих большое количество разных веб-панелек.
- Централизованное управление сертификатами Let`s Encrypt, PavelR, 06:12 , 06-Май-17 (6) +1
>> Не могу взять в толк, о каких конкретно проблемах LE вы толкуете,
>> а уж, тем более, сложностях в выпуске, установке и обновлении. Уж
>> тут всё автоматизировано донельзя.
> При большом количестве серверов/сайтов становится проще рулить сертификатами из одного
> места. Когда сертификатов много - мне больше нравится веб-интерфейс чем консоль.
> Кроме того, консольный LE-клиент иногда ломается (когда авторы LE меняют протокол)
> и становится нужным обновлять клиента на всех серверах, что не очень-то
> удобно. Проще обновить одну панель чем обновлять клиента на всех серверах.
> Это особенно актуально, например, для хостинг-провайдеров имеющих большое количество
> разных веб-панелек.Вы забыли взять слова "хостинг-провайдеров" в кавычки.
- Централизованное управление сертификатами Let`s Encrypt, Вася, 11:56 , 06-Май-17 (8)
- Централизованное управление сертификатами Let`s Encrypt, Аноним, 16:36 , 06-Май-17 (11)
- Централизованное управление сертификатами Let`s Encrypt, shadow_alone, 11:28 , 07-Май-17 (13)
Конечно, может кому и пригодиться, но вот по поводу удобства, это вы зря...Всё отлично сделали,а если у кого-то руки из **** растут, так что он не может все это дело автоматизировать, то, я думаю, это проблема кривизны его рук.
|
Версия для распечатки
Централизованное управление сертификатами Let`s Encrypt, 
