[MASOCH-L] [SPFBL] Implementação HTTS no SPFBL

Leandro leandro at spfbl.net
Mon Jul 31 15:32:45 -03 2017


Beleza Anderson. Vou estudar a fundo toda essa informação nova que você
passou. Valeu!

Em 31/07/2017 15:21, "Anderson C. Santos" <anderson at microquest.com.br>
escreveu:

> Prezado Leandro,
>
>   1) Sim, o LetsEncript precisa de renovacao a cada 3 meses
>
>   2) Sim, tem um script que cuida disso automaticamente
>
>   Novamente, nao eh problema do SPFBL este tipo de coisa.
>
>   No arquivo de configuracao do SPFBL voce tem apenas de criar
>     variaveis que apontem o diretorio do:
>
>     CA (obrigatorio)
>     Intermediate CA (opcional)
>     Certificate (obrigatorio)
>     Private key (obrigatorio)
>     Diretorio WEB/HTML onde gerar os arquivos de confirmacao
>
>     (padrao:
> /etc/letsencrypt/live/dominio/{chain.pem,fullchain.pem,cert.
> pem,privkey.pem)
>
>   So isso: os certificados renovados sempre ficam no mesmo diretorio,
>     entao nao precisa ficar gerenciando isso.
>
>   A pegadinha aqui eh a seguinte: quando o letsencript tentar gerar
>     o certificado, ele pega o dominio atual e gera um arquivo randomico
>     ondemand no diretorio principal do webserver.
>
>   Exemplificando:
>
>   a) Voce tem um SPFBL rodando em /opt, com o dominio spf.exemplo.com.br
>
>   b) No SPFBL voce configuraria no spfbl.conf, algo como:
>
>
> SSLCertificateKeyFile=/etc/letsencrypt/live/spf.exemplo.com.br/privkey.pem
>         SSLCertificateFile=/etc/letsencrypt/live/spf.exemplo.
> com.br/cert.pem
>
> SSLCertificateChainFile=/etc/letsencrypt/live/spf.exemplo.
> com.br/fullchain.pem
>
> SSLCACertificateFile=/etc/letsencrypt/live/spf.exemplo.com.br/chain.pem
>         WEBDIR=/opt/spfbl/web
>
>   c) Quando o script do letscript for executar a 1a. vez, o
>      administrador avisa que para o dominio spf.exemplo.com.br
>      o diretorio root eh /opt/spfbl/web
>
>   d) O script ira requisitar o certificado colocando um arquivo de
>      verificacao em /opt/spfbl/web/.well-know/acme-challenge e tentara
>      acessar este arquivo com uma chamada do tipo:
>
>      http://spf.exemplo.com.br/.well-known/acme-challenge/5SabLzFHNIv8S
>
>   e) Se a chamada acima for bem sucedida, certificado aprovado e gravado
>      no diretorio /etc/letsencrypt/live/spf.exemplo.com.br
>
>   f) Finito
>
>   Entao voce apenas tem de garantir que o diretorio http do dominio
>   spf seja writeable pelo script e que ele possa colocar o arquivo
>   de verificacao. Se isso for OK, entao o certificado gera.
>
>   Se precisar de alguma ajuda especifica com isso, me avisa - posso
>   testar para ti.
>
>   Anderson C. Santos
>
> On 31/07/2017 14:56, Leandro wrote:
> > Oi Anderson. Pelo que entendi sobre o Let's Encrypt, a proposta é
> > justamente essa, dos certificados serem atualizados automaticamente por
> > protocolo ACME. Até onde entendi, a validade destes certificados é de 3
> > meses e ficar atualizando isso na mão da muito trabalho e perda de tempo.
> > Isso vem bem a calhar porque seria uma forma de facilitar o trabalho do
> > administrador SPFBL que precisaria apenas se registrar lá uma vez e
> > esquecer. Parece que vários provedores estão implementando esse mecanismo
> > de atualizações automáticas.
> >
> > Em 31/07/2017 14:13, "Anderson C. Santos" <anderson at microquest.com.br>
> > escreveu:
> >
> >> Prezado Leandro,
> >>
> >>   Nao entendi bem a dificuldade: sao coisas separadas
> >>     como obter o certificado e a aplicacao ser compativel
> >>     com HTTPs.
> >>
> >>   1) Aplicacao ser compativel com HTTPs (mesmo java)
> >>
> >>      Voce tem de se preocupar apenas em usar as bibliotecas
> >>      do java quer permitam HTTPs - indicando os diretorio
> >>      onde ficam a CA, o intermediate CA, o certificado
> >>      em si e a private key. Como esta CA e demais arquivos
> >>      foram obtidos nao importa.
> >>
> >>   2) Como obter o certificado.
> >>
> >>      O letsencript, assim como qualquer certificado (thawte, certsign,
> >>      etc), usa algum metodo de validacao (arquivo, email, etc).
> >>
> >>      No caso do letsencritp, normalmente eh um arquivo no diretorio
> >>      principal do dominio em questao.
> >>
> >>   Criar codigo dentro do SPFBL para tratar a aquisicao de certificado
> >>     e quetais me parece reinventar a roda - basta a aplicacao ser
> >>     compativel com HTTPs e indicar onde pegar os arquivos
> >>     correspondentes.
> >>
> >>
> >>   Anderson C. Santos
> >>
> >> On 31/07/2017 13:27, Vinícius Santana wrote:
> >>> +1 para Nginx como proxy.
> >>>
> >>> Sugiro ainda, gerar os certificados com o Certbot em um container
> Docker.
> >>>
> >>> On Jul 31, 2017 12:49, "Diego Abadan" <abadan at gmail.com> wrote:
> >>>
> >>> Me parece que o padrão de mercado é por um Nginx ou outro serviço como
> >>> proxy, com a cara para o mundo, enquanto a aplicação Java não fica
> >> exposta.
> >>>
> >>> Neste caso, talvez não seja necessário HTTPS entre a aplicação Java e
> >>> nginx, se considerar que a comunicação entre elas já é segura (ex.: as
> >> duas
> >>> rodam no mesmo servidor). Apenas do nginx em diante ficaria em HTTPS.
> >>>
> >>> A amazon deve oferecer soluções para isso como serviço. Algo
> semelhante a
> >>> isto, oferecido pela concorrência:
> >>> https://www.linode.com/nodebalancers
> >>>
> >>> abraços,
> >>> Diego
> >>>
> >>>
> >>> Em 31 de julho de 2017 11:47, Leandro <leandro at spfbl.net> escreveu:
> >>>
> >>>> Pessoal,
> >>>>
> >>>> Seguindo uma recomendação antiga do Rubens, comecei a estudar
> >> recentemente
> >>>> o uso do Let’s Encrypt como CA official do projeto SPFBL, para uso na
> >>>> futura implementação HTTPS.
> >>>>
> >>>> Gostaria de implementar todo o processo de atualização dos
> certificados
> >>>> por gerenciamento pelo próprio SPFBL e acabei caindo nessa biblioteca
> >> ACME
> >>>> aqui:
> >>>>
> >>>> https://github.com/shred/acme4j
> >>>>
> >>>> Gostaria de saber dos senhores se essa biblioteca é confiável e também
> >> se
> >>>> seria a melhor opção que temos ara implementar gerenciamento de
> >>>> certificados Let’s Encrypt dentro do Java.
> >>>>
> >>>> Abraços,
> >>>> Leandro
> >>>> SPFBL.net
> >>>>
> >>>> --
> >>>> Você recebeu essa mensagem porque está inscrito no grupo "SPFBL" dos
> >>>> Grupos do Google.
> >>>> Para cancelar inscrição nesse grupo e parar de receber e-mails dele,
> >> envie
> >>>> um e-mail para spfbl+unsubscribe at googlegroups.com.
> >>>> Para mais opções, acesse https://groups.google.com/d/optout.
> >>>>
> >>> __
> >>> masoch-l list
> >>> https://eng.registro.br/mailman/listinfo/masoch-l
> >>> __
> >>> masoch-l list
> >>> https://eng.registro.br/mailman/listinfo/masoch-l
> >>>
> >> __
> >> masoch-l list
> >> https://eng.registro.br/mailman/listinfo/masoch-l
> >>
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



More information about the masoch-l mailing list