Slides letsencrypt

classic Classic list List threaded Threaded
9 messages Options
Reply | Threaded
Open this post in threaded view
|

Slides letsencrypt

Nicola Corti
Salve a tutti,

Intanto grazie a tutti per aver partecipato al seminario di ieri sera.
Le slides (sia sorgente che pdf) le potete trovare nel repository a
questo indirizzo:

https://github.com/cortinico/gulp-letsencrypt

Grazie di nuovo.
Ci vediamo al prossimo seminario del GULP su LaTeX!
Nicola :)

PS: per chi fosse interessato solo alle slides, basta premere su
'Italiano' in fondo alla pagina.
--
Nicola Corti
[hidden email]
http://www.ncorti.com
"Guardate lontano, e anche quando credete di star guardando lontano,
guardate ancora più lontano!"


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp

signature.asc (484 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Slides letsencrypt

Paolo Cavallini
Il 2016-02-04 09:59 Nicola Corti ha scritto:

> Le slides (sia sorgente che pdf) le potete trovare nel repository a
> questo indirizzo:
>
> https://github.com/cortinico/gulp-letsencrypt

Salve.
Mi ci sono finalmente messo, e l'impatto e' sorprendentemente semplice.
Purtroppo mi becco un errore:

│ Cannot find a cert or key directive in │
│ /files/etc/apache2/sites-available/www.faunalia.other.conf/VirtualHo │
│ st[2]. VirtualHost was not modified

Unable to find cert and/or key directives

IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/www.faunalia.it/fullchain.pem. Your cert will
expire on 2016-05-28. To obtain a new version of the certificate in
the future, simply run Let's Encrypt again.

I certificati pare ci siano, ma non vengono usati (potete provare ad es.
https://trac.faunalia.it/ che ha sempre il vecchio certificato
autofirmato).
Qualsiasi suggerimento sara' prezioso.

Inoltre, non capisco bene dalle slides come fare per rinnovare
automaticamente i certificati prima della scadenza. Dal man:

            --keep-until-expiring, --keep, --reinstall
                                   If the requested cert matches an
existing cert, always
                                   keep the existing one until it is due
for renewal (for
                                   the 'run' subcommand this means
reinstall the existing
                                   cert) (default: False)
             --force-renewal, --renew-by-default
                                   If a certificate already exists for
the requested
                                   domains, renew it now, regardless of
whether it is
                                   near expiry. (Often
--keep-until-expiring is more
                                   appropriate). Also implies --expand.
(default: False)

Quindi va fatto un cronjob del tipo

letsencrypt --keep-until-expiring
e farlo girare ogni giorno, oppure

letsencrypt --force-renewal
e farlo girare il giorno prima della scadenza?

Grazie.

--
Paolo Cavallini - www.faunalia.eu
QGIS & PostGIS courses: http://www.faunalia.eu/training.html
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Reply | Threaded
Open this post in threaded view
|

Re: Slides letsencrypt

Nicola Corti
On 28/02/2016 12:34, Paolo Cavallini wrote:
>
> Salve.

Ciao Paolo

> Mi ci sono finalmente messo, e l'impatto e' sorprendentemente semplice.
> Purtroppo mi becco un errore:
>
> │ Cannot find a cert or key directive in │
> │ /files/etc/apache2/sites-available/www.faunalia.other.conf/VirtualHo │
> │ st[2]. VirtualHost was not modified
>
> Unable to find cert and/or key directives

Allora qui pare che letsencrypt abbia problemi a trovare il file di conf
di apache. Probabile che tu abbia una configurazione particolare che
letsencrypt non riesce a gestire.

Il mio consiglio è quello di andarti a modificare a mano i file dentro
sites-available/ e inserire le direttive SSL che puntano ai certificati
di letsencrypt.

> Inoltre, non capisco bene dalle slides come fare per rinnovare
> automaticamente i certificati prima della scadenza. Dal man:
>
>            --keep-until-expiring, --keep, --reinstall
>                                   If the requested cert matches an
> existing cert, always
>                                   keep the existing one until it is due
> for renewal (for
>                                   the 'run' subcommand this means
> reinstall the existing
>                                   cert) (default: False)
>             --force-renewal, --renew-by-default
>                                   If a certificate already exists for
> the requested
>                                   domains, renew it now, regardless of
> whether it is
>                                   near expiry. (Often
> --keep-until-expiring is more
>                                   appropriate). Also implies --expand.
> (default: False)
>
> Quindi va fatto un cronjob del tipo
>
> letsencrypt --keep-until-expiring
> e farlo girare ogni giorno, oppure
>
> letsencrypt --force-renewal
> e farlo girare il giorno prima della scadenza?
Dovrebbero andare bene entrambi gli approcci.
Il mio consiglio è quello di usare --force-renewal e di farlo girare in
un cronjob con una direttiva monthly.

Trovi qualche dettaglio in più sugli script per il rinnovo automatico qua:
https://community.letsencrypt.org/t/how-to-automatically-renew-certificates/4393/40

Ti segnalo inoltre che stanno implementando il comando

letsencrypt renew

Per semplificare il processo di rinnovo dei certificati, ma francamente
non so a che punto siano con lo sviluppo di questa feature.

Nic :)
--
Nicola Corti - Freelance Mobile Developer
[hidden email]
http://www.ncorti.com
"Look wide, and even when you think you are looking wide – look wider
still!"


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp

signature.asc (484 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Slides letsencrypt

Paolo Cavallini
Il 2016-02-29 11:04 Nicola Corti ha scritto:
> On 28/02/2016 12:34, Paolo Cavallini wrote:
>>
>> Salve.
>
> Ciao Paolo

Grazie dei consigli, ci provo.
Saluti.
--
Paolo Cavallini - www.faunalia.eu
QGIS & PostGIS courses: http://www.faunalia.eu/training.html
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Reply | Threaded
Open this post in threaded view
|

Re: Slides letsencrypt

Paolo Cavallini
In reply to this post by Nicola Corti
Il 2016-02-29 11:04 Nicola Corti ha scritto:

> Allora qui pare che letsencrypt abbia problemi a trovare il file di
> conf
> di apache. Probabile che tu abbia una configurazione particolare che
> letsencrypt non riesce a gestire.
>
> Il mio consiglio è quello di andarti a modificare a mano i file dentro
> sites-available/ e inserire le direttive SSL che puntano ai certificati
> di letsencrypt.

Ciao,
non mi pare di avere cose particolari. Mi puoi dire qual'è la direttiva
da inserire?
In effetti ho solo

     SSLEngine on
     SSLRequireSSL

Grazie.
--
Paolo Cavallini - www.faunalia.eu
QGIS & PostGIS courses: http://www.faunalia.eu/training.html
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Reply | Threaded
Open this post in threaded view
|

Re: Slides letsencrypt

Nicola Corti

Il 29 febbraio 2016 11:23, Paolo Cavallini <[hidden email]> ha
scritto:
> Ciao,
> non mi pare di avere cose particolari. Mi puoi dire qual'è la direttiva da
> inserire?
> In effetti ho solo
>
>     SSLEngine on
>     SSLRequireSSL

Dovresti avere:
SSLCertificateFile /etc/letsencrypt/live/<NOMEDOMINIO>/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/<NOMEDOMINIO>/privkey.pem
Include /etc/letsencrypt/options-ssl-apache.conf

Dentro il file del virtual host.
Controlla che i path siano corretti.

Considera che le direttive possono variare in base alla versione di
apache che hai. Che versione hai? (Su debian comando `/usr/sbin/apache2
-v` per sapere la versione).

Nic
--
Nicola Corti - Freelance Software Developer
[hidden email]
http://ncorti.com
"Look wide, and even when you think you are looking wide – look wider
still!"


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp

signature.asc (484 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Slides letsencrypt

Paolo Cavallini
Il 2016-02-29 11:32 Nicola Corti ha scritto:

> Dovresti avere:
> SSLCertificateFile /etc/letsencrypt/live/<NOMEDOMINIO>/fullchain.pem
> SSLCertificateKeyFile /etc/letsencrypt/live/<NOMEDOMINIO>/privkey.pem
> Include /etc/letsencrypt/options-ssl-apache.conf

Perfetto, cosi' funziona, grazie:
https://trac.faunalia.it/
Ho chiesto di fare https only, ma mi ha dato un errore:

  │ Failed redirect for trac.faunalia.it                                

  │ Unable to set enhancement redirect for trac.faunalia.it              

Unable to find corresponding HTTP vhost; Unable to create one as
intended addresses conflict; Current configuration does not support
automated redirection

IMPORTANT NOTES:
  - We were unable to set up enhancement redirect for your server,
    however, we successfully installed your certificate.

Immagino che sia perche' avevo gia':

<VirtualHost *:80>
     SSLEngine off
     ServerAdmin [hidden email]
     ServerName trac.faunalia.it
     DocumentRoot /var/www/trac.faunalia.it
     Redirect permanent / https://trac.faunalia.it/
</VirtualHost>

Quindi posso lasciare cosi', giusto?

Ho provato ad inserire direttive analoghe ad un altro dominio sullo
stesso server, ma apache non gradisce:

AH00526: Syntax error on line 12 of
/etc/apache2/sites-enabled/lizmap.faunalia.eu.conf:
SSLCertificateFile: file
'/etc/letsencrypt/live/lizmap.faunalia.it/fullchain.pem' does not exist
or is empty

Se faccio partire letsencrypt senza quella direttiva, si lamenta lui,
come prima.

Grazie di nuovo.

--
Paolo Cavallini - www.faunalia.eu
QGIS & PostGIS courses: http://www.faunalia.eu/training.html
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Reply | Threaded
Open this post in threaded view
|

Re: Slides letsencrypt

giomasce
Administrator
In reply to this post by Paolo Cavallini
Ciao.

Il 29/02/2016 11:23, Paolo Cavallini ha scritto:
> Ciao,
> non mi pare di avere cose particolari. Mi puoi dire qual'è la direttiva
> da inserire?

https://letsencrypt.readthedocs.org/en/latest/using.html#where-are-my-certificates

Gio.
--
Giovanni Mascellani <[hidden email]>
PhD Student - Scuola Normale Superiore, Pisa, Italy

http://poisson.phc.unipi.it/~mascellani


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp

signature.asc (836 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Slides letsencrypt

Paolo Cavallini
In reply to this post by Nicola Corti
Il 29/02/2016 11:04, Nicola Corti ha scritto:

> Ti segnalo inoltre che stanno implementando il comando
>
> letsencrypt renew
>
> Per semplificare il processo di rinnovo dei certificati, ma francamente
> non so a che punto siano con lo sviluppo di questa feature.

confermo, il comando e' presente nella versione attuale 0.4.0-1~bpo8+1
e da' conferma del suo funzionamento
grazie
--
Paolo Cavallini - www.faunalia.eu
QGIS & PostGIS courses: http://www.faunalia.eu/training.html
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp