BOAR: Ale jo mas pravdu. Spis je to prezitek z doby kdy LE nebylo. Vsechno co ma uzivatele uz jede na LE. A pokud nechci mit verejny zaznamy o internich systemech, tak se to da udelat i jinak.

MUXX: musim ric, ze interni CA je zlo nejvetsiho kalibru - a zaroven bezpecnostni dira :-) ale pocitam, ze je to dira pripravena na smirovani - ssl proxy, ktera prepodepisuje vlastni CA autoritou ?
jak resis CA autoritu na mobilech a ruznejch klientech ?

MAJA: ja jsem tu v gitlabu udelal CI, ktery dela renew, a pak vsechny certy nacpe do gitu. Kazdej stroj si v noci stahne repozitar s certifikatama, a reloadne nginx.

MAJA: Ja delam ty certifikaty nektery hvezdickovy, takze je delam pres DNS.
Vypada to tak, ze na domene je udelanej TXT CNAME na dns server, klterej si pousti a manazuje to CI
takze v hlavnim DNS je:
_acme-challenge.ahoj.cz IN CNAME ahoj.cz.le.adresatohodnsvci.cz

takze by to znamenalo do DNS, ktery spravuje jina firma jen pridat zaznam pro kazdou domenu - a nasmerovat ho na tvuj DNS server. kde si pak udelas overeni.
btw. nemusis cekat, ejstli to prosaklo na druhej konec - LE se pta primo autoritativniho dns serveru, takze tam muzes zadat zaznam, a udelat reload - a v tom okamziku to le najde. ja tam mam tusim 5 sec pauzu.

MAJA: hele, co je LE seznam?

SPM: DNSko bohužel spravuje externí firma, tak jsem skončil u té jednodušší webové varianty ... ale zase je to rychlejší resp. člověk nemusí rešit, jestli už se záznam updatoval a prosáklo to na druhý konec apod.

ja to jinak na interni subdomeny vyresil tak, ze pouzivam dns auth, mam jeden stroj s dns vystavenej do internetu, na nej delegovanou tu interni domenu a jednotlivy masiny si pres api na nem vytvari a mazou ten txt zaznam

MAJA: Jo jeden stroj obnovi vsechny certifikaty a vsechny pak rsyncuju vsude

KOLCON: přímo podhodíš certifikáty třeba pod apache (plus reload service) nebo řešíš nějakou kontrolu/zálohu stávajících ?

MAJA: Já to normálně rsyncuju...

MUXX: Jaké jsou pohnutky nemít interní systémy v LE seznamu ?

MAJA: no ja to mam tak, ze mam nginx, ktery se stara certbotem o certifikaty a dela zaroven ssl offload. certifikaty tak nemam potreba nikam dal kopirovat. na ostatni veci pouzivam interni CA, protoze nechci, aby moje interni systemy byly ve verejnym lets encrypt seznamu.

no ja nevim, pouzivam getssl a to umi co chces.

GitHub - srvrco/getssl: obtain free SSL certificates from letsencrypt ACME server Suitable for automating the process on remote servers.
https://github.com/srvrco/getssl

MUXX: Koncept je takový, že jedině ta certifikační proxy vidí do internetu a obnovuje pravidelně LE certifikáty pomocí Dehydrated.io. Stroje, pro které ty certifikáty jsou, budou víceméně odříznuté ... nemám vymyšlenou cestičku distribuce ... napadlo mě, aby si každý stroj cronem/skriptem z té proxy nakopíroval potřebné soubory, cheknul že jsou všechny a podstrčil je apache,nginx etc ... jenom si říkám, že už to pravděpodobně někdo vymyslel a dost pravděpodobně líp než bych to zbastlil já :-)

MAJA: Proč to nenecháš na té proxy?

hele, má si po deploy infra přes jenkins napsat testovací bash skripty jestli ty služby běží na webu korekně. Nebo je na to nějaký hezký framework? Mohl bych třeba použít ansible, ale přijde mi to vlastě neohrabaný.

MAJA: jojo, jednou týdně mám v emailu backup report a když se něco nezálohovalo v posledních 3 dnech, už posílá varování

Ja sem s AWX celkem spokojenej, nepouzivam teda moc gui jako spis API. Hlavnim duvodem byly prave ACL ktery mam pres SSO a mame tak nad tim audit, dalsi vyhodou je hlavne scheduler

TOOMIX: dobrý vědět, že Crashplan funguje