[MASOCH-L] [SPFBL] Implementação HTTS no SPFBL
Leandro
leandro at spfbl.net
Mon Jul 31 15:32:45 -03 2017
Beleza Anderson. Vou estudar a fundo toda essa informação nova que você
passou. Valeu!
Em 31/07/2017 15:21, "Anderson C. Santos" <anderson at microquest.com.br>
escreveu:
> Prezado Leandro,
>
> 1) Sim, o LetsEncript precisa de renovacao a cada 3 meses
>
> 2) Sim, tem um script que cuida disso automaticamente
>
> Novamente, nao eh problema do SPFBL este tipo de coisa.
>
> No arquivo de configuracao do SPFBL voce tem apenas de criar
> variaveis que apontem o diretorio do:
>
> CA (obrigatorio)
> Intermediate CA (opcional)
> Certificate (obrigatorio)
> Private key (obrigatorio)
> Diretorio WEB/HTML onde gerar os arquivos de confirmacao
>
> (padrao:
> /etc/letsencrypt/live/dominio/{chain.pem,fullchain.pem,cert.
> pem,privkey.pem)
>
> So isso: os certificados renovados sempre ficam no mesmo diretorio,
> entao nao precisa ficar gerenciando isso.
>
> A pegadinha aqui eh a seguinte: quando o letsencript tentar gerar
> o certificado, ele pega o dominio atual e gera um arquivo randomico
> ondemand no diretorio principal do webserver.
>
> Exemplificando:
>
> a) Voce tem um SPFBL rodando em /opt, com o dominio spf.exemplo.com.br
>
> b) No SPFBL voce configuraria no spfbl.conf, algo como:
>
>
> SSLCertificateKeyFile=/etc/letsencrypt/live/spf.exemplo.com.br/privkey.pem
> SSLCertificateFile=/etc/letsencrypt/live/spf.exemplo.
> com.br/cert.pem
>
> SSLCertificateChainFile=/etc/letsencrypt/live/spf.exemplo.
> com.br/fullchain.pem
>
> SSLCACertificateFile=/etc/letsencrypt/live/spf.exemplo.com.br/chain.pem
> WEBDIR=/opt/spfbl/web
>
> c) Quando o script do letscript for executar a 1a. vez, o
> administrador avisa que para o dominio spf.exemplo.com.br
> o diretorio root eh /opt/spfbl/web
>
> d) O script ira requisitar o certificado colocando um arquivo de
> verificacao em /opt/spfbl/web/.well-know/acme-challenge e tentara
> acessar este arquivo com uma chamada do tipo:
>
> http://spf.exemplo.com.br/.well-known/acme-challenge/5SabLzFHNIv8S
>
> e) Se a chamada acima for bem sucedida, certificado aprovado e gravado
> no diretorio /etc/letsencrypt/live/spf.exemplo.com.br
>
> f) Finito
>
> Entao voce apenas tem de garantir que o diretorio http do dominio
> spf seja writeable pelo script e que ele possa colocar o arquivo
> de verificacao. Se isso for OK, entao o certificado gera.
>
> Se precisar de alguma ajuda especifica com isso, me avisa - posso
> testar para ti.
>
> Anderson C. Santos
>
> On 31/07/2017 14:56, Leandro wrote:
> > Oi Anderson. Pelo que entendi sobre o Let's Encrypt, a proposta é
> > justamente essa, dos certificados serem atualizados automaticamente por
> > protocolo ACME. Até onde entendi, a validade destes certificados é de 3
> > meses e ficar atualizando isso na mão da muito trabalho e perda de tempo.
> > Isso vem bem a calhar porque seria uma forma de facilitar o trabalho do
> > administrador SPFBL que precisaria apenas se registrar lá uma vez e
> > esquecer. Parece que vários provedores estão implementando esse mecanismo
> > de atualizações automáticas.
> >
> > Em 31/07/2017 14:13, "Anderson C. Santos" <anderson at microquest.com.br>
> > escreveu:
> >
> >> Prezado Leandro,
> >>
> >> Nao entendi bem a dificuldade: sao coisas separadas
> >> como obter o certificado e a aplicacao ser compativel
> >> com HTTPs.
> >>
> >> 1) Aplicacao ser compativel com HTTPs (mesmo java)
> >>
> >> Voce tem de se preocupar apenas em usar as bibliotecas
> >> do java quer permitam HTTPs - indicando os diretorio
> >> onde ficam a CA, o intermediate CA, o certificado
> >> em si e a private key. Como esta CA e demais arquivos
> >> foram obtidos nao importa.
> >>
> >> 2) Como obter o certificado.
> >>
> >> O letsencript, assim como qualquer certificado (thawte, certsign,
> >> etc), usa algum metodo de validacao (arquivo, email, etc).
> >>
> >> No caso do letsencritp, normalmente eh um arquivo no diretorio
> >> principal do dominio em questao.
> >>
> >> Criar codigo dentro do SPFBL para tratar a aquisicao de certificado
> >> e quetais me parece reinventar a roda - basta a aplicacao ser
> >> compativel com HTTPs e indicar onde pegar os arquivos
> >> correspondentes.
> >>
> >>
> >> Anderson C. Santos
> >>
> >> On 31/07/2017 13:27, Vinícius Santana wrote:
> >>> +1 para Nginx como proxy.
> >>>
> >>> Sugiro ainda, gerar os certificados com o Certbot em um container
> Docker.
> >>>
> >>> On Jul 31, 2017 12:49, "Diego Abadan" <abadan at gmail.com> wrote:
> >>>
> >>> Me parece que o padrão de mercado é por um Nginx ou outro serviço como
> >>> proxy, com a cara para o mundo, enquanto a aplicação Java não fica
> >> exposta.
> >>>
> >>> Neste caso, talvez não seja necessário HTTPS entre a aplicação Java e
> >>> nginx, se considerar que a comunicação entre elas já é segura (ex.: as
> >> duas
> >>> rodam no mesmo servidor). Apenas do nginx em diante ficaria em HTTPS.
> >>>
> >>> A amazon deve oferecer soluções para isso como serviço. Algo
> semelhante a
> >>> isto, oferecido pela concorrência:
> >>> https://www.linode.com/nodebalancers
> >>>
> >>> abraços,
> >>> Diego
> >>>
> >>>
> >>> Em 31 de julho de 2017 11:47, Leandro <leandro at spfbl.net> escreveu:
> >>>
> >>>> Pessoal,
> >>>>
> >>>> Seguindo uma recomendação antiga do Rubens, comecei a estudar
> >> recentemente
> >>>> o uso do Let’s Encrypt como CA official do projeto SPFBL, para uso na
> >>>> futura implementação HTTPS.
> >>>>
> >>>> Gostaria de implementar todo o processo de atualização dos
> certificados
> >>>> por gerenciamento pelo próprio SPFBL e acabei caindo nessa biblioteca
> >> ACME
> >>>> aqui:
> >>>>
> >>>> https://github.com/shred/acme4j
> >>>>
> >>>> Gostaria de saber dos senhores se essa biblioteca é confiável e também
> >> se
> >>>> seria a melhor opção que temos ara implementar gerenciamento de
> >>>> certificados Let’s Encrypt dentro do Java.
> >>>>
> >>>> Abraços,
> >>>> Leandro
> >>>> SPFBL.net
> >>>>
> >>>> --
> >>>> Você recebeu essa mensagem porque está inscrito no grupo "SPFBL" dos
> >>>> Grupos do Google.
> >>>> Para cancelar inscrição nesse grupo e parar de receber e-mails dele,
> >> envie
> >>>> um e-mail para spfbl+unsubscribe at googlegroups.com.
> >>>> Para mais opções, acesse https://groups.google.com/d/optout.
> >>>>
> >>> __
> >>> masoch-l list
> >>> https://eng.registro.br/mailman/listinfo/masoch-l
> >>> __
> >>> masoch-l list
> >>> https://eng.registro.br/mailman/listinfo/masoch-l
> >>>
> >> __
> >> masoch-l list
> >> https://eng.registro.br/mailman/listinfo/masoch-l
> >>
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
More information about the masoch-l
mailing list