[MASOCH-L] [SPFBL] Implementação HTTS no SPFBL

Anderson C. Santos anderson at microquest.com.br
Mon Jul 31 15:21:58 -03 2017


Prezado Leandro,

  1) Sim, o LetsEncript precisa de renovacao a cada 3 meses

  2) Sim, tem um script que cuida disso automaticamente

  Novamente, nao eh problema do SPFBL este tipo de coisa.

  No arquivo de configuracao do SPFBL voce tem apenas de criar
    variaveis que apontem o diretorio do:

    CA (obrigatorio)
    Intermediate CA (opcional)
    Certificate (obrigatorio)
    Private key (obrigatorio)
    Diretorio WEB/HTML onde gerar os arquivos de confirmacao

    (padrao:
/etc/letsencrypt/live/dominio/{chain.pem,fullchain.pem,cert.pem,privkey.pem)

  So isso: os certificados renovados sempre ficam no mesmo diretorio,
    entao nao precisa ficar gerenciando isso.

  A pegadinha aqui eh a seguinte: quando o letsencript tentar gerar
    o certificado, ele pega o dominio atual e gera um arquivo randomico
    ondemand no diretorio principal do webserver.

  Exemplificando:

  a) Voce tem um SPFBL rodando em /opt, com o dominio spf.exemplo.com.br

  b) No SPFBL voce configuraria no spfbl.conf, algo como:


SSLCertificateKeyFile=/etc/letsencrypt/live/spf.exemplo.com.br/privkey.pem
        SSLCertificateFile=/etc/letsencrypt/live/spf.exemplo.com.br/cert.pem

SSLCertificateChainFile=/etc/letsencrypt/live/spf.exemplo.com.br/fullchain.pem

SSLCACertificateFile=/etc/letsencrypt/live/spf.exemplo.com.br/chain.pem
        WEBDIR=/opt/spfbl/web

  c) Quando o script do letscript for executar a 1a. vez, o
     administrador avisa que para o dominio spf.exemplo.com.br
     o diretorio root eh /opt/spfbl/web

  d) O script ira requisitar o certificado colocando um arquivo de
     verificacao em /opt/spfbl/web/.well-know/acme-challenge e tentara
     acessar este arquivo com uma chamada do tipo:

     http://spf.exemplo.com.br/.well-known/acme-challenge/5SabLzFHNIv8S

  e) Se a chamada acima for bem sucedida, certificado aprovado e gravado
     no diretorio /etc/letsencrypt/live/spf.exemplo.com.br

  f) Finito

  Entao voce apenas tem de garantir que o diretorio http do dominio
  spf seja writeable pelo script e que ele possa colocar o arquivo
  de verificacao. Se isso for OK, entao o certificado gera.

  Se precisar de alguma ajuda especifica com isso, me avisa - posso
  testar para ti.

  Anderson C. Santos

On 31/07/2017 14:56, Leandro wrote:
> Oi Anderson. Pelo que entendi sobre o Let's Encrypt, a proposta é
> justamente essa, dos certificados serem atualizados automaticamente por
> protocolo ACME. Até onde entendi, a validade destes certificados é de 3
> meses e ficar atualizando isso na mão da muito trabalho e perda de tempo.
> Isso vem bem a calhar porque seria uma forma de facilitar o trabalho do
> administrador SPFBL que precisaria apenas se registrar lá uma vez e
> esquecer. Parece que vários provedores estão implementando esse mecanismo
> de atualizações automáticas.
> 
> Em 31/07/2017 14:13, "Anderson C. Santos" <anderson at microquest.com.br>
> escreveu:
> 
>> Prezado Leandro,
>>
>>   Nao entendi bem a dificuldade: sao coisas separadas
>>     como obter o certificado e a aplicacao ser compativel
>>     com HTTPs.
>>
>>   1) Aplicacao ser compativel com HTTPs (mesmo java)
>>
>>      Voce tem de se preocupar apenas em usar as bibliotecas
>>      do java quer permitam HTTPs - indicando os diretorio
>>      onde ficam a CA, o intermediate CA, o certificado
>>      em si e a private key. Como esta CA e demais arquivos
>>      foram obtidos nao importa.
>>
>>   2) Como obter o certificado.
>>
>>      O letsencript, assim como qualquer certificado (thawte, certsign,
>>      etc), usa algum metodo de validacao (arquivo, email, etc).
>>
>>      No caso do letsencritp, normalmente eh um arquivo no diretorio
>>      principal do dominio em questao.
>>
>>   Criar codigo dentro do SPFBL para tratar a aquisicao de certificado
>>     e quetais me parece reinventar a roda - basta a aplicacao ser
>>     compativel com HTTPs e indicar onde pegar os arquivos
>>     correspondentes.
>>
>>
>>   Anderson C. Santos
>>
>> On 31/07/2017 13:27, Vinícius Santana wrote:
>>> +1 para Nginx como proxy.
>>>
>>> Sugiro ainda, gerar os certificados com o Certbot em um container Docker.
>>>
>>> On Jul 31, 2017 12:49, "Diego Abadan" <abadan at gmail.com> wrote:
>>>
>>> Me parece que o padrão de mercado é por um Nginx ou outro serviço como
>>> proxy, com a cara para o mundo, enquanto a aplicação Java não fica
>> exposta.
>>>
>>> Neste caso, talvez não seja necessário HTTPS entre a aplicação Java e
>>> nginx, se considerar que a comunicação entre elas já é segura (ex.: as
>> duas
>>> rodam no mesmo servidor). Apenas do nginx em diante ficaria em HTTPS.
>>>
>>> A amazon deve oferecer soluções para isso como serviço. Algo semelhante a
>>> isto, oferecido pela concorrência:
>>> https://www.linode.com/nodebalancers
>>>
>>> abraços,
>>> Diego
>>>
>>>
>>> Em 31 de julho de 2017 11:47, Leandro <leandro at spfbl.net> escreveu:
>>>
>>>> Pessoal,
>>>>
>>>> Seguindo uma recomendação antiga do Rubens, comecei a estudar
>> recentemente
>>>> o uso do Let’s Encrypt como CA official do projeto SPFBL, para uso na
>>>> futura implementação HTTPS.
>>>>
>>>> Gostaria de implementar todo o processo de atualização dos certificados
>>>> por gerenciamento pelo próprio SPFBL e acabei caindo nessa biblioteca
>> ACME
>>>> aqui:
>>>>
>>>> https://github.com/shred/acme4j
>>>>
>>>> Gostaria de saber dos senhores se essa biblioteca é confiável e também
>> se
>>>> seria a melhor opção que temos ara implementar gerenciamento de
>>>> certificados Let’s Encrypt dentro do Java.
>>>>
>>>> Abraços,
>>>> Leandro
>>>> SPFBL.net
>>>>
>>>> --
>>>> Você recebeu essa mensagem porque está inscrito no grupo "SPFBL" dos
>>>> Grupos do Google.
>>>> Para cancelar inscrição nesse grupo e parar de receber e-mails dele,
>> envie
>>>> um e-mail para spfbl+unsubscribe at googlegroups.com.
>>>> Para mais opções, acesse https://groups.google.com/d/optout.
>>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
> 



More information about the masoch-l mailing list