SSL сертификат & Let’s Encrypt ( ACME protocol ) certificate

Тема в разделе "Web дизайн", создана пользователем FussesDemon, 10 авг 2019.

  1. FussesDemon

    FussesDemon Администратор Администратор

    Регистрация:
    9 фев 2005
    Сообщения:
    2.351
    Симпатии:
    267
    Дополз я наконец то до этого ресурса https://letsencrypt.org/ ходил кругами много лет и openssl мучал временами.. Когда то несколько лет назад пробовал с ними поработать но как то все грустно и криво было.
    Так вот могу сказать что работает стабильно. Сейчас пробовал дают правда только на 3 месяца но уверено и отлично заходит под IIS. Я словил счастье от быстрого и простого автоматического создания сертификата. Хочется конечно как у всех людей на год, а не каждый раз тыкать на обновить даже если это и стабильно быстро делается.

    Вся суть почему начал тыкаться по SSL мне интересуют PUSH уведомления они только по SSL
    Так еще накатаю про свои эксперименты :wink: WEB PUSH

    зы как счет разоблачат мой обязательно задонатю им может мой донат увеличит время на ссл ...нууу так мечты))) И за это спс!

    https://letsencrypt.org/docs/client-options/ юзал этот гитхаб - https://github.com/PKISharp/win-acme/releases и проверку https://crt.sh/
     
    Последнее редактирование: 10 авг 2019
  2. FussesDemon

    FussesDemon Администратор Администратор

    Регистрация:
    9 фев 2005
    Сообщения:
    2.351
    Симпатии:
    267
    Все оказалось на много проще я попал в рай


    Command line

    Overview
    Here are all of the command line arguments the program accepts. To see some use cases, head to the examples.

    Notes
    • The arguments are saved for each renewal so the same arguments apply when they are renewed at a later stage. If you don't want an argument to apply to multiple sites, run the program multiple times.
    • Some parameters such as a --renew only do their own thing. A common misconception is that renewal parameters can be changed during a renewal. If you want to make changes to your renewal, e.g. the way your certificate is validated or installed, then you have to do that before renewing.
    • Arguments documented as such: --foo [--bar baz|qux] mean that --foo is only applicable when --bar is set to baz or qux.
    Main
    --baseuri
    Address of the ACMEv2 server to use. The default endpoint
    can be modified in settings.config.

    --import
    Import scheduled renewals from version 1.9.x in unattended
    mode.

    --importbaseuri
    [--import] When importing scheduled renewals from version
    1.9.x, this argument can change the address of the ACMEv1
    server to import from. The default endpoint to import from
    can be modified in settings.config.

    --test
    Enables testing behaviours in the program which may help
    with troubleshooting. By default this also switches the
    --baseuri to the ACME test endpoint. The default endpoint
    for test mode can be modified in settings.config.

    --verbose
    Print additional log messages to console for
    troubleshooting and bug reports.

    --help
    Show information about all available command line options.

    --version
    Show version information.

    --renew
    Renew any certificates that are due. This argument is used
    by the scheduled task. Note that it's not possible to
    change certificate properties and renew at the same time.

    --force
    Force renewal on all scheduled certificates when used
    together with --renew. Otherwise just bypasses the
    certificate cache on new certificate requests.

    --cancel
    Cancel scheduled renewal specified by the friendlyname
    argument.

    --list
    List all created renewals in unattended mode.

    --id
    Id of a new or existing renewal, can be used to set up a
    new renewal or to target specific one with other commands
    like --cancel or --renew.

    --friendlyname
    Friendly name of a new or existing renewal, can be used to
    set up a new renewal or to target specific one with other
    commands like --cancel or --renew.

    --target
    Specify which target plugin to run, bypassing the main
    menu and triggering unattended mode.

    --validation
    Specify which validation plugin to run. If none is
    specified, SelfHosting validation will be chosen as the
    default.

    --validationmode
    Specify which validation mode to use. HTTP-01 is the
    default.

    --csr
    Specify which csr plugin to use. RSA is the default.

    --store
    Specify which store plugin to use. CertificateStore is the
    default. This may be a comma separated list.

    --installation
    Specify which installation plugins to use. IIS is the
    default. This may be a comma separated list.

    --closeonfinish
    [--test] Close the application when complete, which
    usually does not happen when test mode is active. Useful
    to test unattended operation.

    --hidehttps
    Hide sites that have existing https bindings from
    interactive mode.

    --notaskscheduler
    Do not create (or offer to update) the scheduled task.

    --usedefaulttaskuser
    Avoid the question about specifying the task scheduler
    user, as such defaulting to the SYSTEM account.

    --accepttos
    Accept the ACME terms of service.

    --emailaddress
    Email address to use by ACME for renewal fail notices.

    --encrypt
    Rewrites all renewal information using current
    EncryptConfig setting


    CSR
    Common
    --ocsp-must-staple
    Enable OCSP Must Staple extension on certificate.

    --reuse-privatekey
    Reuse the same private key for each renewal.


    Installation
    IIS FTP plugin
    [--installation iisftp]

    --ftpsiteid
    Site id to install certificate to.


    IIS Web plugin
    [--installation iis]

    --installationsiteid
    Specify site to install new bindings to. Defaults to the
    target if that is an IIS site.

    --sslport
    Port number to use for newly created HTTPS bindings.
    Defaults to 443.

    --sslipaddress
    IP address to use for newly created HTTPS bindings.
    Defaults to *.


    Script plugin
    [--installation script]

    --script
    Path to script file to run after retrieving the
    certificate. This may be a .exe or .bat. Refer to the Wiki
    for instructions on how to run .ps1 files.

    --scriptparameters
    Parameters for the script to run after retrieving the
    certificate. Refer to the Wiki for further instructions.


    Store
    PEM files plugin
    [--store pemfiles]

    --pemfilespath
    .pem files are exported to this folder


    Central Certificate Store plugin
    [--store centralssl]

    --centralsslstore
    When using this setting, certificate files are stored to
    the CCS and IIS bindings are configured to reflect that.

    --pfxpassword
    Password to set for .pfx files exported to the IIS CSS.


    Certificate Store plugin
    [--store certificatestore] (default)

    --certificatestore
    This setting can be used to save the certificate in a
    specific store. By default it will go to 'WebHosting'
    store on modern versions of Windows.

    --keepexisting
    While renewing, do not remove the previous certificate.


    Target
    CSR plugin
    [--target csr]

    --csrfile
    Specify the location of a CSR file to make a certificate
    for

    --pkfile
    Specify the location of the private key corresponding to
    the CSR


    IIS Binding plugin
    [--target iisbinding]

    --siteid
    Id of the site where the binding should be found
    (optional).

    --host
    Host of the binding to get a certificate for.


    IIS Site(s) plugin
    [--target iissite|iissites]

    --siteid
    Identifier of the site that the plugin should create the
    target from. For iissites this may be a comma separated
    list.

    --commonname
    Specify the common name of the certificate that should be
    requested for the target. By default this will be the
    first binding that is enumerated.

    --excludebindings
    Exclude host names from the certificate. This may be a
    comma separated list.


    Manual plugin
    [--target manual]

    --commonname
    Specify the common name of the certificate. If not
    provided the first host name will be used.

    --host
    A host name to get a certificate for. This may be a comma
    separated list.


    Validation
    FileSystem plugin
    [--validation filesystem]

    --validationsiteid
    Specify IIS site to use for handling validation requests.
    This will be used to choose the web root path.


    Common HTTP validation options
    [--validation filesystem|ftp|sftp|webdav]

    --webroot
    Root path of the site that will serve the HTTP validation
    requests.

    --warmup
    Warm up website(s) before attempting HTTP validation.

    --manualtargetisiis
    Copy default web.config to the .well-known directory.


    SelfHosting plugin
    [--validation selfhosting] (default)

    --validationport
    Port to use for listening to validation requests. Note
    that the ACME server will always send requests to port 80.
    This option is only useful in combination with a port
    forwarding.


    AcmeDns
    [--validationmode dns-01 --validation acme-dns]

    --acmednsserver
    Root URI of the acme-dns service


    Script
    [--validationmode dns-01 --validation script]

    --dnsscript
    Path to script that creates and deletes validation
    records, depending on its parameters. If this parameter is
    provided then --dnscreatescript and --dnsdeletescript are
    ignored.

    --dnscreatescript
    Path to script that creates the validation TXT record.

    --dnscreatescriptarguments
    Default parameters passed to the script are create
    {Identifier} {RecordName} {Token}, but that can be
    customized using this argument.

    --dnsdeletescript
    Path to script to remove TXT record.

    --dnsdeletescriptarguments
    Default parameters passed to the script are delete
    {Identifier} {RecordName} {Token}, but that can be
    customized using this argument.


    Credentials
    [--validation ftp|sftp|webdav]

    --username
    User name for WebDav/(s)ftp server

    --password
    Password for WebDav/(s)ftp server
     
    Последнее редактирование: 10 авг 2019
  3. FussesDemon

    FussesDemon Администратор Администратор

    Регистрация:
    9 фев 2005
    Сообщения:
    2.351
    Симпатии:
    267
    Я с начало не заметил все еще проще :good: сказка обязательно задонатю ребятам !!


    Screenshot_1.jpg


    Я счастлив такой крутой поддержкой проекта.. не нарадуюсь надеюсь так будет всегда! И другим пример!
     
    Последнее редактирование: 10 авг 2019
  4. FussesDemon

    FussesDemon Администратор Администратор

    Регистрация:
    9 фев 2005
    Сообщения:
    2.351
    Симпатии:
    267
    Интересно коснулся про технологию ACME(Automated Certificate Management Environment) и SSL(Secure Sockets Layer ) в общем поверхностно. Есть протокол SNI (server name indication) который входит в TLS 1.3 (transport layer security ) Получается что теперь на один IP(internet protocol) адрес можно посадить множества сертификатов. Которые проверяются с помощью серверов DNS(domain name system). На проверку связи нужно потратить время на определение соответствия IP и доменным именем которое проходит в браузере при запросе.

    sni-vs-non-sni.png

    В такой реализации вижу много плюшек. Надеюсь это приживется в том бесплатном виде как сейчас и в будущем HTTPS(HyperText Transfer Protocol Secure) останется основным WWW(world wide web) протоколом, а http останется для локальных разработок.
    Есть и незначительные минусы это как я понимаю время выдачи сертификата который нужно продлевать, обновлять, подтверждать делегирование определенного домена на определенном IP.

    how-it-works-sni-cloud-solution-slide-1.jpg

    Конечно это в будущем повлечёт конкретные изменения в сфере веб хостингов и не только. И увеличит защищенные данные которые можно будет передавать с большей защитой чем раньше. Это словно как подушка безопасности в машине. Она есть и это хорошо и устраивает что жрет минимальные ресурсы всей машины. Как вес всей этой системы внутри машины и время на диагностику работы системы, электричество, обслуживание этой системы безопасности в машине.
    Все это приемлемо как и в новой эре сайта-строительство в новое десятилетие :wink:

    зы главное чтобы это все не ушло в дикую коммерцию....
     
    Последнее редактирование: 19 авг 2019

Поделиться этой страницей