Let's Encrypt, получаем сертификаты без регистрации и смс

CyberDeveloper 2017-03-06 10:16:38 UTC #1

Всем привет, сегодня я хотел бы вам рассказать, как просто(а главное бесплатно) получить криптографический сертификат X.509. Для этого нам понадобиться Let's Encrypt и командная оболочка bash(я использую встроенную в win10 оболочку ubuntu).

Let's Encrypt - центр сертификации, начавший свою работу в 2015 году. Проект не является коммерческим и неподконтролен конкретной организации. Его преимуществами является:

Бесплатность - любой владелец доменного имени может получить сертификат бесплатно.

Автоматизированность - Let's Encrypt предоставляет клиент, который, после настройки, может автоматически обновлять ваши сертификаты на сервере.

Краткая инструкция
Для начала нам необходимо скачать cert-bot.

wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

Запускаем cert-bot.

./certbot-auto certonly --authenticator manual

Далее нас попросят ввести наши доменные имена, для примера возьмем мой блог, это - www.cyberdeveloper.pro. Домены необходимо разделить пробелами. После ввода всех доменных имен бот вывалит такую заметку.

NOTE: The IP of this machine will be publicly logged as having requested this
certificate. If you're running certbot in manual mode on a machine that is not
your server, please ensure you're okay with that.

Нужно подтвердить сохранение вашего IP-адреса в логах Let's Encrypt. Следующим шагом станет подтверждение домена. Предлагаю рассмотреть это подробней, как самую интересную часть.

Подтверждение домена
На этом шаге бот просит подтвердить владение доменом.

Make sure your web server displays the following content at
http://cyberdeveloper.pro/.well-known/acme-challenge/-kWeTRa18zXm6JnRJ0a9tW_j4WB4wYgvxELytdePneg before continuing:

-kWeTRa18zXm6JnRJ0a9tW_j4WB4wYgvxELytdePneg.ER-RTUz3C_RSwHzgCKb7DFvRc3N6rNrPxkyG5KvAO5c

If you don't have HTTP server configured, you can run the following
command on the target server (as root):

mkdir -p /tmp/certbot/public_html/.well-known/acme-challenge
cd /tmp/certbot/public_html
printf "%s" -kWeTRa18zXm6JnRJ0a9tW_j4WB4wYgvxELytdePneg.ER-RTUz3C_RSwHzgCKb7DFvRc3N6rNrPxkyG5KvAO5c > .well-known/acme-challenge/-kWeTRa18zXm6JnRJ0a9tW_j4WB4wYgvxELytdePneg
# run only once per server:
$(command -v python2 || command -v python2.7 || command -v python2.6) -c \
"import BaseHTTPServer, SimpleHTTPServer; \
s = BaseHTTPServer.HTTPServer(('', 80), SimpleHTTPServer.SimpleHTTPRequestHandler); \
s.serve_forever()"

Бот генерирует пару ключей и начинает взаимодействие с Let's Encrypt CA. Тот, в свою очередь, сообщает что нужно сделать, чтобы подтвердить владение доменом.

В нашем случае Let's Encrypt CA вернул путь, значение, которое должен вернуть наш сервер и случайное число(nonce). После того как мы выполнили задание, бот подписывает случайное число своим приватным ключом(это докажет, что он контролирует пару ключей) и уведомляет Let's Encrypt CA, что можно завершить проверку. Let's Encrypt CA, в свою очередь, проверяет подпись на nonce, пытается загрузить файл с нашего сервера и убеждается, что он содержит соответствующий контент.

Если все прошло успешно, то бот связывается с публичным ключом и считается уполномоченным управлять сертификатами для наших доменов. В конце этого шага по пути /etc/letsencrypt/live/cyberdeveloper.pro/ будут лежать следующие файлы:

privkey.pem - приватный ключ сертификата.

cert.pem - сертификат сервера.

chain.pem - промежуточный сертификат.

fullchain.pem - конкатенация chain.pem и cert.pem.

Эти файлы являются итогом нашей работы, после которой следует настройка сервера, но это уже тема отдельной статьи. В моем случае, мне только пришлось через веб форму отправить эти файлы в RU-CENTER.

Автоматизация
В примере выше мы воспользовались ручным вариантом, но cert-bot имеет несколько других ключей. Например команда

./certbot-auto certonly --webroot --agree-tos --email example@domain.com -w /var/www/example/ -d example.com -d www.example.com

автоматически сгенерирует сертификат для двух доменов, останется сказать, например nginx, где они лежат.
Нужно помнить, что сертификаты валидны всего 90 дней. Последняя команда на сегодня - выполняет обновление сертификатов.

./certbot-auto renew --quiet --no-self-upgrade

Ее необходимо добавить в cron и забыть.

В этом посте мы разобрались как получить криптографический сертификат без лишней боли в организме и автоматизировали его обновление.

Тут можно прочитать, как используется этот сертификат в рамках протокола TLS. А здесь вы найдете более простое описание зачем они вообще нужны и как работают.

Если вам нравятся мои статьи, можете следить за обновлениями с помощью E-Mail, Twitter, Facebook, а также канала в Telegram.

afiskon 2017-03-06 11:03:47 UTC #2

@CyberDeveloper спасибо больше за статью!

Не возникает ли при использовании Let's Encrypt каких-то проблем или существенных ограничений, которые стоит иметь ввиду? Какие там алгоритмы и длины ключей используются в сертификатах?

CyberDeveloper 2017-03-06 11:17:13 UTC #3

@afiskon на своем блоге использую и не испытываю пока неудобств. До этого был серт от WoSign, вот там были проблемы. По поводу ключей у бота в helpe есть опции, например для изменения размера rsa ключа.

security:
Security parameters & server settings

--rsa-key-size N Size of the RSA key. (default: 2048)
--must-staple Adds the OCSP Must Staple extension to the
certificate. Autoconfigures OCSP Stapling for
supported setups (Apache version >= 2.3.3 ). (default:
False)
--redirect Automatically redirect all HTTP traffic to HTTPS for
the newly authenticated vhost. (default: Ask)
--no-redirect Do not automatically redirect all HTTP traffic to
HTTPS for the newly authenticated vhost. (default:
Ask)
--hsts Add the Strict-Transport-Security header to every HTTP
response. Forcing browser to always use SSL for the
domain. Defends against SSL Stripping. (default:
False)
--uir Add the "Content-Security-Policy: upgrade-insecure-
requests" header to every HTTP response. Forcing the
browser to use https:// for every http:// resource.
(default: None)
--staple-ocsp Enables OCSP Stapling. A valid OCSP response is
stapled to the certificate that the server offers
during TLS. (default: None)
--strict-permissions Require that all configuration files are owned by the
current user; only needed if your config is somewhere
unsafe like /tmp/ (default: False)

Чтобы заморачиваться с ключами бота, стоит воспользоваться конфигом.

wiz 2017-03-06 12:02:09 UTC #4

Мы использовали, все ssl-тестилки показывали рейтинг A (после фикса остальных косяков).

wiz 2017-03-06 18:43:35 UTC #5

Ждём теперь когда девзен тоже станет безопасным.

egor 2017-03-06 18:54:37 UTC #6

На форум ставить есть смысл, а вот на devzen.ru, думаю, не нужно

vadv 2017-03-07 14:01:07 UTC #7

скрипт выглядит как набор говна и палок. толстые интерпретируемые скрипты запущенные под рутом - зло. выбрал для себя: https://github.com/xenolf/lego
"поставил в крон и забыл". в крон такие таски ставить нельзя, из-за недостаточности мониторинга.

andrey21x6 2017-03-07 14:33:37 UTC #8

На Windows 7 можно получить SSL? Или только Ubuntu?

andrey21x6 2017-03-07 14:35:02 UTC #9

Если ты такой умный - почему такой бедный?

CyberDeveloper 2017-03-07 17:57:48 UTC #10

Есть виндовые клиенты, но использовать их не советую.

CyberDeveloper 2017-03-07 18:07:24 UTC #11

1) Клиент кривоват, согласен, но все таки офф. Не уверен, что сторонние будут лучше работать.
2) К сожалению, мы не рассматривали логику вроде мониторинга(тема отдельной статьи). Я дал минимум, а уже каждый решает какие доп функции навесить.

egor 2017-03-07 18:12:10 UTC #12

Прочитайте притчу об этой фразе и не используйте её никогда.

EgorZhuk 2017-03-28 06:52:50 UTC #13

Спасибо, за гайд. Все работает.

Remper 2017-03-28 13:57:08 UTC #14

Кстати, всё хотел спросить — как там с поддержкой CA Let's Encrypt в джаве? Я помню джава ругалась на такие сертификаты.

CyberDeveloper 2017-03-28 18:31:45 UTC #15

Простите, не понял вопроса. При чем тут джава? Хотите сказать, что у JVM есть свои корневые сертификаты? В любом случае можно передать свой валидатор.

Remper 2017-03-28 18:50:46 UTC #16

Да, в JVM есть свой trust store, понятно что всегда можно подсунуть кастомный, но в целом не очень удобно постоянно бандлить сертификат во все приложения, особенно когда объясняешь третьим лицам как пользоваться APIшкой подписанной таким сертификатом.

CyberDeveloper 2017-03-28 19:42:40 UTC #17

Крайне странно, я удивлен.

EgorZhuk 2017-03-29 08:34:40 UTC #18

Если Java 8, то все ок

Sergej_Arimov 2017-03-29 12:28:08 UTC #19

Для винды успешно используем вот этот клиент:
https://github.com/Lone-Coder/letsencrypt-win-simple/
используем на Windows Server 2012 R2
Это консольная утилита
Как добавить сертификат для очередного сайта.
Сайт должен быть уже на локальном IIS и отзываться по внешнему доменному имени.
1) Запускаем командное окно с правами админа
2) Идем в папку где лежит утилита
3) Запускаем программку в терминалке: letsencrypt.exe
4) Он начинает выдавать список всех хостов на текущем IIS (обычно новый сайт в самом конце), жать Enter для след.страниц
5) Будет вопрос: "Which host do you want to get a certificate for:" вводим номер соответствующий хосту
будет автоматически создана в коре сайта папка с именем .well-know и в ней ключик
будет создан сертификат и добавлено задание в Task Manager на ежедневное обновление сертификата (если оно там уже есть, то новое создавать не нужно, нужно отказаться)
и вуаля! Очень все просто и удобно

При поддержке Discourse, лучше всего использовать с включенным JavaScript