- Bind. Удаленное управление, добавление/удаление RR записей, Licha Morada, 23:30 , 30-Мрт-20 (1) +1
> Решил без особый вложений использовать LetsEncrypt. Все что нужно - так это > подтвердить владение зоной. Обычно это делается через http uri. > И все бы ничего, но у меня нет на хосте с postfix-ом > web-сервера, и ставить его туда не собираюсь.В принципе, web-сервером может быть всё что угодно, хоть nc. Моя персональная симпатия уходит к xinetd. Смотрите примеры https://unix.stackexchange.com/questions/32182/simple-comman... > Благо есть альтернативный способ подтвердить владение через DNS, но тут снова проблема, > DNS тоже не на хосте с postfix-ом. > Поначалу начал заморачиваться с запуском скриптов через ssh, но потом подумал, а > наверное есть способ а-ля rndc addzone?! Но не нашел. > Плохо искал или таки нет? > nsupdate не подходит, поскольку зона не динамическая. Можно оставить в покое вашу зону example.com, но завести на том-же хосте отдельную зону _acme-challenge.example.com и её сделать динамической. Или пусть зона _acme-challenge.example.com будет slave, чтобы её обновлял master который живёт там-же где и Postfix, а с локальным непубличным Bind-ом вы без SSH справитесь. Вам же важно, чтобы обновлялка сертификатов не могла лазать куда не надо?
- Bind. Удаленное управление, добавление/удаление RR записей, gardener, 13:46 , 01-Апр-20 (5)
> В принципе, web-сервером может быть всё что угодно, хоть nc. Моя персональная > симпатия уходит к xinetd. Смотрите примеры https://unix.stackexchange.com/questions/32182/simple-comman... Дело не в том что сложно ставить, или трудно с выбором что ставить. Дело в том, что на хосте политикой не предусмотрено открытие других портов. Тем более что в этом нет никакой другой необходимости, кроме той что так проще и так делают все. > Можно оставить в покое вашу зону example.com, но завести на том-же хосте > отдельную зону _acme-challenge.example.com и её сделать динамической. > Или пусть зона _acme-challenge.example.com будет slave, чтобы её обновлял master который > живёт там-же где и Postfix, а с локальным непубличным Bind-ом вы > без SSH справитесь. > Вам же важно, чтобы обновлялка сертификатов не могла лазать куда не надо? Да, безусловно. Обновлялка не должна никуда лазить. Для этого на хосте с BIND-ом ограниченный шел, пути, скрипты, судо и прочие ограничения, что не очень удобно. Про динамическую зону тоже думал, но как-то в другом ключе. Благодарю, Ваш вариант вполне себе рабочий. Пожалуй на нем остановлюсь.
- Bind. Удаленное управление, добавление/удаление RR записей, Licha Morada, 21:11 , 01-Апр-20 (7)
>> Вам же важно, чтобы обновлялка сертификатов не могла лазать куда не надо? > Да, безусловно. Обновлялка не должна никуда лазить. Для этого на хосте с > BIND-ом ограниченный шел, пути, скрипты, судо и прочие ограничения, что не > очень удобно.IMXO, вообще ей нечего делать на хосте с BIND-ом. Я имел в виду, не давать ей прав модифицировать зону example.com, а только _acme-challenge.example.com. >> Можно оставить в покое вашу зону example.com, но завести на том-же хосте >> отдельную зону _acme-challenge.example.com и её сделать динамической. >> Или пусть зона _acme-challenge.example.com будет slave, чтобы её обновлял master который >> живёт там-же где и Postfix, а с локальным непубличным Bind-ом вы >> без SSH справитесь. > Про динамическую зону тоже думал, но как-то в другом ключе. Благодарю, Ваш > вариант вполне себе рабочий. Пожалуй на нем остановлюсь.
Змечательно. Имейте в виду: - Если зона _acme-challenge.example.com живёт хосте с Postfix-ом, то её будет технически проще курочить из обновлялки, но будут сложности если кому-то кроме Postfix-а потребуются сертификаты Let's Encrypt. - Если зона _acme-challenge.example.com живёт хосте с BIND-ом, то придётся повозиться с её динамическим обновлением с Postfix-а, по nsupdate или обёрткой вокруг SSH, но решение будет масштабируемо на большее количесво сервисов с Let's Encrypt на домене example.com.
- Bind. Удаленное управление, добавление/удаление RR записей, gardener, 00:09 , 02-Апр-20 (8)
> IMXO, вообще ей нечего делать на хосте с BIND-ом. Я имел в > виду, не давать ей прав модифицировать зону example.com, а только _acme-challenge.example.com.И я это имел в виду. Делать только то, под что заточен скрипт в каталоге ~/bin на стороне BIND-а, запускаемый acmetool-ом на стороне postfix-а, при обработке соответствующего хука - challenge-dns-start или challenge-dns-stop. И поскольку шел и судо на стороне BIND-а ограничены, то ничего более под этой учеткой, авторизуемой по ключу, сделать не получится. > Змечательно. Имейте в виду: > - Если зона _acme-challenge.example.com живёт хосте с Postfix-ом, то её будет технически > проще курочить из обновлялки, но будут сложности если кому-то кроме Postfix-а > потребуются сертификаты Let's Encrypt. > - Если зона _acme-challenge.example.com живёт хосте с BIND-ом, то придётся повозиться с > её динамическим обновлением с Postfix-а, по nsupdate или обёрткой вокруг SSH, > но решение будет масштабируемо на большее количесво сервисов с Let's Encrypt > на домене example.com. Предпочтительней безусловно второй вариант. Но! Как оказалось, хостинг-панель plesk не дает (штатно) сделать зону (никакую) динамической. Только мастер/слейв. Попробую поискать или как сделать динамическую зону, или еще вариант. Шел мне не нравится массой условностей. Потом что-то где-то забудешь, и будет дыра. Мастер/слейв оставлю как запасной вариант.
- Bind. Удаленное управление, добавление/удаление RR записей, BarS, 06:45 , 31-Мрт-20 (2)
>[оверквотинг удален] > подтвердить владение зоной. Обычно это делается через http uri. > И все бы ничего, но у меня нет на хосте с postfix-ом > web-сервера, и ставить его туда не собираюсь. > Благо есть альтернативный способ подтвердить владение через DNS, но тут снова проблема, > DNS тоже не на хосте с postfix-ом. > Поначалу начал заморачиваться с запуском скриптов через ssh, но потом подумал, а > наверное есть способ а-ля rndc addzone?! Но не нашел. > Плохо искал или таки нет? > nsupdate не подходит, поскольку зона не динамическая. > Есть ли другие варианты, или остается только ssh?У letsencrypt свой сервер, лишь бы порт 80 (возможно и 443) не заняты были во время получения сертификата....
- Bind. Удаленное управление, добавление/удаление RR записей, PavelR, 08:29 , 31-Мрт-20 (3) –1
> И все бы ничего, но у меня нет на хосте с postfix-ом > web-сервера, и ставить его туда не собираюсь.Вам шашечки или ехать? Ну стойте, ждите шашечек... Я поражаюсь, насколько люди стремятся создавать себе проблемы на ровном месте и хотят чувствовать себя героями, решая их. Не хочешь ставить веб-сервер - купи платный сертификат, это дешевле чем потраченное время. Но поставить веб-сервер - еще дешевле.
- Bind. Удаленное управление, добавление/удаление RR записей, муу, 17:45 , 31-Мрт-20 (4)
>> И все бы ничего, но у меня нет на хосте с postfix-ом >> web-сервера, и ставить его туда не собираюсь. > Вам шашечки или ехать? > Ну стойте, ждите шашечек... > Я поражаюсь, насколько люди стремятся создавать себе проблемы на ровном месте и > хотят чувствовать себя героями, решая их. > Не хочешь ставить веб-сервер - купи платный сертификат, это дешевле чем потраченное > время. > Но поставить веб-сервер - еще дешевле.ты чё раскудахтался? человек абсолютно прав в своих желаниях, я тебе больше скажу для wildcard сертификатов (*.domain.tld) единственная форма верификации - через днс и да существуют методы позволяющие это дело автоматизировать на голом bind, описывать я их не буду,в гугле есть стопка примеров, ОП - ленивая жопа или не умеет гуглить
- Bind. Удаленное управление, добавление/удаление RR записей, gardener, 13:50 , 01-Апр-20 (6)
>> И все бы ничего, но у меня нет на хосте с postfix-ом >> web-сервера, и ставить его туда не собираюсь. > Вам шашечки или ехать? > Ну стойте, ждите шашечек... > Я поражаюсь, насколько люди стремятся создавать себе проблемы на ровном месте и > хотят чувствовать себя героями, решая их. > Не хочешь ставить веб-сервер - купи платный сертификат, это дешевле чем потраченное > время. > Но поставить веб-сервер - еще дешевле.Что Вы так возбудились! Я найду рабочее решение удовлетворяющее моим требованиям, а не по принципу "как нибудь".
|