jedete tu nekdo nixos ?
NixOS - NixOS Linux
https://nixos.org/

INDIAN: jo, to jsem koukal, spis jestli to nahodou nekdo nepouziva prakticky a nepostrcil by me jak to idealne navrhnout tak, aby to odpovidalo tomu, jak to mam reseny...

VESNACH: vidim ze na githubu je podobnejch projeektu nekolik

nenavedl by me nekdo, jak optimalne z "ansiblovat" instalaci bacula-fd + vytvoreni konfigu na dir a sd serveru? Do ted jsme to resil scriptem, ale chtel bych to udelat hezci...

QUIP: jj, nakonec jsem to vyřešil rsyncem pouštěným z virtuálky, který se připojí k certifikační proxy pod non-root userem, který má v home nalinkované soubory ...

MAJA: Ja bych na to sel cestou volani nejak skriptu z toho proxyserveru. Tedy proxy zavola nejakou neprivilegovanou cestou neco na tom stroji, ktery potrebuje obnoveny certifikat a ten pak teprve provede stazeni certifikatu z tveho cert storu na proxy (at uz rsyncem, pres http, sftp whatever) a pak provede reload potrebnych sluzeb - jenom tenhle posledni krok bude potrebovat rootovska opravneni.
Zajimavou moznosti u rsyncu je treba pre a post-xfer exec, kdy ti ten rsync posloucha jako daemon a tim, ze se na nej pripojis, se spusti nejaka akce, ktera uz muze probehnout pod rootem. Pritom samotny modul rsyncu je chrootnuty a muze byt read only.

BOAR: Ale jo mas pravdu. Spis je to prezitek z doby kdy LE nebylo. Vsechno co ma uzivatele uz jede na LE. A pokud nechci mit verejny zaznamy o internich systemech, tak se to da udelat i jinak.

BOAR: 5 sekund je dobrých, jsem čekal, že to bude typicky být takový neurčitý interval mezi 0 - 15 min ...

MUXX: musim ric, ze interni CA je zlo nejvetsiho kalibru - a zaroven bezpecnostni dira :-) ale pocitam, ze je to dira pripravena na smirovani - ssl proxy, ktera prepodepisuje vlastni CA autoritou ?
jak resis CA autoritu na mobilech a ruznejch klientech ?

MAJA: ja jsem tu v gitlabu udelal CI, ktery dela renew, a pak vsechny certy nacpe do gitu. Kazdej stroj si v noci stahne repozitar s certifikatama, a reloadne nginx.

MAJA: Ja delam ty certifikaty nektery hvezdickovy, takze je delam pres DNS.
Vypada to tak, ze na domene je udelanej TXT CNAME na dns server, klterej si pousti a manazuje to CI
takze v hlavnim DNS je:
_acme-challenge.ahoj.cz IN CNAME ahoj.cz.le.adresatohodnsvci.cz

takze by to znamenalo do DNS, ktery spravuje jina firma jen pridat zaznam pro kazdou domenu - a nasmerovat ho na tvuj DNS server. kde si pak udelas overeni.
btw. nemusis cekat, ejstli to prosaklo na druhej konec - LE se pta primo autoritativniho dns serveru, takze tam muzes zadat zaznam, a udelat reload - a v tom okamziku to le najde. ja tam mam tusim 5 sec pauzu.

MAJA: hele, co je LE seznam?

SPM: DNSko bohužel spravuje externí firma, tak jsem skončil u té jednodušší webové varianty ... ale zase je to rychlejší resp. člověk nemusí rešit, jestli už se záznam updatoval a prosáklo to na druhý konec apod.

ja to jinak na interni subdomeny vyresil tak, ze pouzivam dns auth, mam jeden stroj s dns vystavenej do internetu, na nej delegovanou tu interni domenu a jednotlivy masiny si pres api na nem vytvari a mazou ten txt zaznam

MAJA: Jo jeden stroj obnovi vsechny certifikaty a vsechny pak rsyncuju vsude

KOLCON: přímo podhodíš certifikáty třeba pod apache (plus reload service) nebo řešíš nějakou kontrolu/zálohu stávajících ?

MAJA: Já to normálně rsyncuju...

MUXX: Jaké jsou pohnutky nemít interní systémy v LE seznamu ?