https
Модератор: f0s
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
f_andrey
- майор
- Сообщения: 2651
- Зарегистрирован: 2007-12-26 1:22:58
- Откуда: СПб
- Контактная информация:
https
Полностью поддерживаю нашего поня, а чего это вдруг не завезли https://crt.sh/?Identity=%25.freebsd.org
Это просто Лисс ретроград, он вон даже IPv6 до сих пор не прикрутил
Это просто Лисс ретроград, он вон даже IPv6 до сих пор не прикрутил
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308
-
hizel
- дядя поня
- Сообщения: 9032
- Зарегистрирован: 2007-06-29 10:05:02
- Откуда: Выборг
https
ну ipv6 по справедливости не особенно нужен, а вот без https совсем плохо, надеюсь Лис ни как Макс с opennet-а по идейным соображениям https игнорирует
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.
-
f_andrey
- майор
- Сообщения: 2651
- Зарегистрирован: 2007-12-26 1:22:58
- Откуда: СПб
- Контактная информация:
https
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308
-
Alex Keda
- стреляли...
- Сообщения: 35436
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
f_andrey
- майор
- Сообщения: 2651
- Зарегистрирован: 2007-12-26 1:22:58
- Откуда: СПб
- Контактная информация:
https
Да скокмо влезет
security/py-certbot - официальный какбе
security/letskencrypt - от братьев параноиков
security/py-acme-tiny - чё то мелкое
и ещё тыщи их, я вот думаю свежий модуль в ansible затестить
security/py-certbot - официальный какбе
security/letskencrypt - от братьев параноиков
security/py-acme-tiny - чё то мелкое
и ещё тыщи их, я вот думаю свежий модуль в ansible затестить
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308
-
Alex Keda
- стреляли...
- Сообщения: 35436
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
https
Код: Выделить всё
vm1# pkg search py-certbot
vm1# pkg search letskencrypt
vm1# pkg search py-acme-tiny
vm1# Отправлено спустя 49 секунд:
Код: Выделить всё
vm1# cat /usr/local/etc/pkg/repos/FreeBSD.conf
#
FreeBSD: { enabled: no }
FreeBSD-latest: {
url: "pkg+http://pkg.FreeBSD.org/${ABI}/latest",
mirror_type: "srv",
signature_type: "fingerprints",
fingerprints: "/usr/share/keys/pkg",
enabled: yes
}
vm1# uname -a
FreeBSD vm1.lissyara.su 11.0-RELEASE-p1 FreeBSD 11.0-RELEASE-p1 #0 r306420: Thu Sep 29 01:43:23 UTC 2016 root@releng2.nyi.freebsd.org:/usr/obj/usr/src/sys/GENERIC amd64
vm1#
Убей их всех! Бог потом рассортирует...
-
f_andrey
- майор
- Сообщения: 2651
- Зарегистрирован: 2007-12-26 1:22:58
- Откуда: СПб
- Контактная информация:
https
Ну ты как первый раз замужем 
Хотя конечно друзья параноики вон переименовались, но тоже не большой секрет
Код: Выделить всё
pkg search acme-client
acme-client-0.1.16_1 Native C client for Let's Encrypt, designed for security
pkg search certbot
py27-certbot-0.13.0_1,1 Let's Encrypt client
pkg search acme-tiny
acme-tiny-0.0.g.2016.08.18 Tiny script to issue and renew TLS certs from Let's Encrypt Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308
-
xM
- ст. лейтенант
- Сообщения: 1316
- Зарегистрирован: 2009-01-15 23:57:41
- Откуда: Königsberg
- Контактная информация:
https
Поддерживаю. Надо-надо. Товарищи майоры пусть дро... курят.
IT voodoo blog https://kostikov.co
-
Alex Keda
- стреляли...
- Сообщения: 35436
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
https
viewforum.php?f=14
Отправлено спустя 17 секунд:
получите, распишитесь
Отправлено спустя 4 минуты 46 секунд:
бля, это на каждый виртуалост надо апача тормозить теперь?
Отправлено спустя 17 секунд:
получите, распишитесь
Отправлено спустя 4 минуты 46 секунд:
Код: Выделить всё
vm1# certbot certonly --standalone -d www.lissyara.su
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Obtaining a new certificate
Performing the following challenges:
tls-sni-01 challenge for www.lissyara.su
-------------------------------------------------------------------------------
Could not bind TCP port 443 because it is already in use by another process on
this system (such as a web server). Please stop the program in question and then
try again.
-------------------------------------------------------------------------------
Убей их всех! Бог потом рассортирует...
-
f_andrey
- майор
- Сообщения: 2651
- Зарегистрирован: 2007-12-26 1:22:58
- Откуда: СПб
- Контактная информация:
https
Ещё себя пофиксь http://forum.lissyara.su/images/avatars ... in_pic.gif
Хотя хорошо бы ещё безусловный редирект на https, но для начала и так конечно сойдёт
А так глядишь со временем мы тебя и на v6 и на какой нибудь DNSSEC совратим
http://forum.lissyara.su/images/avatars ... in_pic.gif
Хотя хорошо бы ещё безусловный редирект на https, но для начала и так конечно сойдёт
А так глядишь со временем мы тебя и на v6 и на какой нибудь DNSSEC совратим
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308
-
Alex Keda
- стреляли...
- Сообщения: 35436
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
https
некогда мне себя фиксить
надо все вхосты на сервере этом к https подключать
иначе везде вместо сайтво будет первый открываться с https
апач жеж
Отправлено спустя 9 минут 6 секунд:
прицепил ко всему по сертфикату
посмотрим, как оно будет перевыпускаться-то...
и править всё надо, чтоб по https нормально было
не было печали - купила баба порося....
надо все вхосты на сервере этом к https подключать
иначе везде вместо сайтво будет первый открываться с https
апач жеж
Отправлено спустя 9 минут 6 секунд:
прицепил ко всему по сертфикату
посмотрим, как оно будет перевыпускаться-то...
и править всё надо, чтоб по https нормально было
не было печали - купила баба порося....
Убей их всех! Бог потом рассортирует...
-
f_andrey
- майор
- Сообщения: 2651
- Зарегистрирован: 2007-12-26 1:22:58
- Откуда: СПб
- Контактная информация:
https
Ну а так как иначе то, только бежа вперёд, можно хотя бы не отстать
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308
-
Alex Keda
- стреляли...
- Сообщения: 35436
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
https
с сайтом проще всего было
в десятке мест поменял http: на https: и всё
Отправлено спустя 2 минуты 55 секунд:
а вообще, это гениальное маркетинговое решение, нельзя не признать
годика три-четыре поработать, а потом закрыть нафиг эту шаражку, или сделать платной - да хоть по баксу с носа.
если это придумка сторонних контор по выпуску сертфикатов - её прикроют
если их личная - то будет по баксу с носа
в десятке мест поменял http: на https: и всё
Отправлено спустя 2 минуты 55 секунд:
а вообще, это гениальное маркетинговое решение, нельзя не признать
годика три-четыре поработать, а потом закрыть нафиг эту шаражку, или сделать платной - да хоть по баксу с носа.
если это придумка сторонних контор по выпуску сертфикатов - её прикроют
если их личная - то будет по баксу с носа
Убей их всех! Бог потом рассортирует...
-
f_andrey
- майор
- Сообщения: 2651
- Зарегистрирован: 2007-12-26 1:22:58
- Откуда: СПб
- Контактная информация:
https
Кто ж их закроит, они же памятник, вроде как 2 лимона баксов в том году на 10-рых поделили и все довольны
Там же общий сговор, всяких там гуглоцисок и всего вот этого, летскрипт в общем то так вершинка айсберга
Отправлено спустя 1 минуту 9 секунд:
Там же общий сговор, всяких там гуглоцисок и всего вот этого, летскрипт в общем то так вершинка айсберга
Отправлено спустя 1 минуту 9 секунд:
А зачем форум именно твою то аватарку по http тянут, где то захордкожено что ли так чудно?
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308
-
Alex Keda
- стреляли...
- Сообщения: 35436
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
f_andrey
- майор
- Сообщения: 2651
- Зарегистрирован: 2007-12-26 1:22:58
- Откуда: СПб
- Контактная информация:
https
О, да, теперь красивше, а то миксед контент понимаш ли, не по феншую.
Их кстати не обязательно так прям по одиночке выписывать, хотя иногда и удобнее. оно SAN и прочии IDN нормально поддерживает.
Их кстати не обязательно так прям по одиночке выписывать, хотя иногда и удобнее. оно SAN и прочии IDN нормально поддерживает.
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308
-
xM
- ст. лейтенант
- Сообщения: 1316
- Зарегистрирован: 2009-01-15 23:57:41
- Откуда: Königsberg
- Контактная информация:
https
Зачем же standalone то? Понятно что он своё www соединение хочет организовывать.Alex Keda писал(а): vm1# certbot certonly --standalone -d http://www.lissyara.su
Используйте webroot.
Типа как-то так.
Код: Выделить всё
# certbot certonly --agree-tos --email postmaster@lissyara.su --webroot -w /path/to/webroot/of/lissyara.su -d lissyara.su -d www.lissyara.suЧё-то FreeBSD пока ни с кого не собирает и не закрывается.
IT voodoo blog https://kostikov.co
-
Alex Keda
- стреляли...
- Сообщения: 35436
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
https
всё по инструкции что порт предложил
--
тёплое и мягкое путаете
если они даже объявят что фря стала платной - форк и поехали
или пользуйся дальше пока не надоест
а тут три месяца - и всё. плати бабки им или ещё кому-то - комодо, верисигну ....
--
тёплое и мягкое путаете
если они даже объявят что фря стала платной - форк и поехали
или пользуйся дальше пока не надоест
а тут три месяца - и всё. плати бабки им или ещё кому-то - комодо, верисигну ....
Убей их всех! Бог потом рассортирует...
-
f_andrey
- майор
- Сообщения: 2651
- Зарегистрирован: 2007-12-26 1:22:58
- Откуда: СПб
- Контактная информация:
https
Так они же не просто так, там вот ентот acme протокол/стандарт, потом там есть boulder или как то около этого, инфраструктура по выпуску, потом сертификат-трансперанси что то типа общего лога, кто что понавыписывал. Пока в общем то не хватает, чтоб выписывать мог именно ты, а доверяли все (но ты уже можеш сказать какому именно выписывальшику доверяет твой домен CAA).
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308
-
xM
- ст. лейтенант
- Сообщения: 1316
- Зарегистрирован: 2009-01-15 23:57:41
- Откуда: Königsberg
- Контактная информация:
https
О, получилось! 
Отправлено спустя 2 часа 8 минут 57 секунд:
https://www.m0d3rnc0ad.com/post/letencr ... n-your-csr
Если же вы о своём CA, то есть DANE. Который, впрочем, производители софта не спешат поддерживать по понятным причинам.
Отправлено спустя 2 часа 8 минут 57 секунд:
У Let's Encrypt есть возможность использовать CSR же. См., к примеру
https://www.m0d3rnc0ad.com/post/letencr ... n-your-csr
Если же вы о своём CA, то есть DANE. Который, впрочем, производители софта не спешат поддерживать по понятным причинам.
IT voodoo blog https://kostikov.co
-
f_andrey
- майор
- Сообщения: 2651
- Зарегистрирован: 2007-12-26 1:22:58
- Откуда: СПб
- Контактная информация:
https
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308
-
Alex Keda
- стреляли...
- Сообщения: 35436
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
https
а в кроне-то всё есть
я сразу писал что это голимная тема, но вы все орали что всё будет как в аптеке
Отправлено спустя 1 минуту 2 секунды:
смешно, короче
апач штоле тормозить надо на каждый чих?
Код: Выделить всё
vm1# crontab -l | tail -3
# перевыпуск сертфикатов
@daily sleep `jot -r 1 3700 86400` && certbot renew >/dev/null 2>&1
vm1# Отправлено спустя 1 минуту 2 секунды:
смешно, короче
апач штоле тормозить надо на каждый чих?
Код: Выделить всё
vm1# certbot renew
Saving debug log to /var/log/letsencrypt/letsencrypt.log
-------------------------------------------------------------------------------
Processing /usr/local/etc/letsencrypt/renewal/forum.lissyara.su.conf
-------------------------------------------------------------------------------
Cert is due for renewal, auto-renewing...
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for forum.lissyara.su
Cleaning up challenges
Attempting to renew cert from /usr/local/etc/letsencrypt/renewal/forum.lissyara.su.conf produced an unexpected error: Could not bind TCP port 443 because it is already in use by another process on this system (such as a web server). Please stop the program in question and then try again.. Skipping.
-------------------------------------------------------------------------------
Processing /usr/local/etc/letsencrypt/renewal/www.lissyara.su.conf
-------------------------------------------------------------------------------
Cert is due for renewal, auto-renewing...
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for http://www.lissyara.su
Cleaning up challenges
Attempting to renew cert from /usr/local/etc/letsencrypt/renewal/www.lissyara.su.conf produced an unexpected error: Could not bind TCP port 443 because it is already in use by another process on this system (such as a web server). Please stop the program in question and then try again.. Skipping.
-------------------------------------------------------------------------------
Processing /usr/local/etc/letsencrypt/renewal/cacti.lissyara.su.conf
-------------------------------------------------------------------------------
Cert is due for renewal, auto-renewing...
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for cacti.lissyara.su
Cleaning up challenges
Attempting to renew cert from /usr/local/etc/letsencrypt/renewal/cacti.lissyara.su.conf produced an unexpected error: Could not bind TCP port 443 because it is already in use by another process on this system (such as a web server). Please stop the program in question and then try again.. Skipping.
-------------------------------------------------------------------------------
Processing /usr/local/etc/letsencrypt/renewal/gbi.lissyara.su.conf
-------------------------------------------------------------------------------
Cert is due for renewal, auto-renewing...
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for gbi.lissyara.su
Cleaning up challenges
Attempting to renew cert from /usr/local/etc/letsencrypt/renewal/gbi.lissyara.su.conf produced an unexpected error: Could not bind TCP port 443 because it is already in use by another process on this system (such as a web server). Please stop the program in question and then try again.. Skipping.
-------------------------------------------------------------------------------
Processing /usr/local/etc/letsencrypt/renewal/home.lissyara.su.conf
-------------------------------------------------------------------------------
Cert is due for renewal, auto-renewing...
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for home.lissyara.su
Cleaning up challenges
Attempting to renew cert from /usr/local/etc/letsencrypt/renewal/home.lissyara.su.conf produced an unexpected error: Could not bind TCP port 443 because it is already in use by another process on this system (such as a web server). Please stop the program in question and then try again.. Skipping.
-------------------------------------------------------------------------------
Processing /usr/local/etc/letsencrypt/renewal/lissyara.su.conf
-------------------------------------------------------------------------------
Cert is due for renewal, auto-renewing...
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for lissyara.su
Cleaning up challenges
Attempting to renew cert from /usr/local/etc/letsencrypt/renewal/lissyara.su.conf produced an unexpected error: Could not bind TCP port 443 because it is already in use by another process on this system (such as a web server). Please stop the program in question and then try again.. Skipping.
-------------------------------------------------------------------------------
Processing /usr/local/etc/letsencrypt/renewal/wiki.lissyara.su.conf
-------------------------------------------------------------------------------
Cert is due for renewal, auto-renewing...
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for wiki.lissyara.su
Cleaning up challenges
Attempting to renew cert from /usr/local/etc/letsencrypt/renewal/wiki.lissyara.su.conf produced an unexpected error: Could not bind TCP port 443 because it is already in use by another process on this system (such as a web server). Please stop the program in question and then try again.. Skipping.
-------------------------------------------------------------------------------
Processing /usr/local/etc/letsencrypt/renewal/www.depevo.ru.conf
-------------------------------------------------------------------------------
Cert is due for renewal, auto-renewing...
Starting new HTTPS connection (1): acme-v01.api.letsencrypt.org
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for http://www.depevo.ru
Cleaning up challenges
Attempting to renew cert from /usr/local/etc/letsencrypt/renewal/www.depevo.ru.conf produced an unexpected error: Could not bind TCP port 443 because it is already in use by another process on this system (such as a web server). Please stop the program in question and then try again.. Skipping.
All renewal attempts failed. The following certs could not be renewed:
/usr/local/etc/letsencrypt/live/forum.lissyara.su/fullchain.pem (failure)
/usr/local/etc/letsencrypt/live/www.lissyara.su/fullchain.pem (failure)
/usr/local/etc/letsencrypt/live/cacti.lissyara.su/fullchain.pem (failure)
/usr/local/etc/letsencrypt/live/gbi.lissyara.su/fullchain.pem (failure)
/usr/local/etc/letsencrypt/live/home.lissyara.su/fullchain.pem (failure)
/usr/local/etc/letsencrypt/live/lissyara.su/fullchain.pem (failure)
/usr/local/etc/letsencrypt/live/wiki.lissyara.su/fullchain.pem (failure)
/usr/local/etc/letsencrypt/live/www.depevo.ru/fullchain.pem (failure)
8 renew failure(s), 0 parse failure(s)
vm1#
Убей их всех! Бог потом рассортирует...
-
f_andrey
- майор
- Сообщения: 2651
- Зарегистрирован: 2007-12-26 1:22:58
- Откуда: СПб
- Контактная информация:
https
А... тьфу блин, ну так ты сделай "заглушку" для чекалки, в nginx это так выглядит
Ну и не давать ему запускаться как выделеный сервис, там есть какой то режим вроде, когда сервер у тебя уже есть и без него
Код: Выделить всё
location /.well-known/acme-challenge/ {
allow all;
access_log /home/logs/www/acme-access.log vhosts;
try_files $uri /dev/null =404;
}
Если ваша тема перенесена, то смотри http://forum.lissyara.su/viewtopic.php?f=1&t=32308
-
Alex Keda
- стреляли...
- Сообщения: 35436
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация: