letsencrypt

classic Classic list List threaded Threaded
20 messages Options
Reply | Threaded
Open this post in threaded view
|

letsencrypt

Paolo Cavallini
Salve.
https://www.facebook.com/events/482974885239215/
eì possibile avere le slides, o i comandi, o qualcosa del genere?
Purtroppo non posso essere a Pisa, ma vorrei proprio mettere dei
certificati non autofirmati sui nostri server.
Grazie.
--
Paolo Cavallini - www.faunalia.eu
QGIS & PostGIS courses: http://www.faunalia.eu/training.html
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt

Paolo Mascellani-2
Paolo,

        se hai bisogno di una mano, io ho già sperimentato letsencrypt ed è
anche abbastanza facile.

Chiedi pure.

Paolo.

> https://www.facebook.com/events/482974885239215/
> eì possibile avere le slides, o i comandi, o qualcosa del genere?
> Purtroppo non posso essere a Pisa, ma vorrei proprio mettere dei
> certificati non autofirmati sui nostri server.
> Grazie.

--
Paolo Mascellani - [hidden email]
eLabor sc - via G. Garibaldi 33, 56124 Pisa (+39 050 970 363)
[hidden email] - http://elabor.biz
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt

buda
Volevo avere una informazione a riguardo.
E' possibile utilizzare il certificato di letsencrypt su un ip privato
di una rete aziendale non raggiungibile dall'esterno.


Il 01/02/16, Paolo Mascellani<[hidden email]> ha scritto:

> Paolo,
>
> se hai bisogno di una mano, io ho già sperimentato letsencrypt ed è
> anche abbastanza facile.
>
> Chiedi pure.
>
> Paolo.
>
>> https://www.facebook.com/events/482974885239215/
>> eì possibile avere le slides, o i comandi, o qualcosa del genere?
>> Purtroppo non posso essere a Pisa, ma vorrei proprio mettere dei
>> certificati non autofirmati sui nostri server.
>> Grazie.
>
> --
> Paolo Mascellani - [hidden email]
> eLabor sc - via G. Garibaldi 33, 56124 Pisa (+39 050 970 363)
> [hidden email] - http://elabor.biz
> _______________________________________________
> Gulp mailing list
> [hidden email]
> http://lists.gulp.linux.it/mailman/listinfo/gulp
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
-----BEGIN GEEK CODE BLOCK-----
Version: 3.1
G d+ s:+++ a? C++++$ UL+++>++++$ !P L++++ E- W+ N !o K++++ w--- O+++ M
V? PS+++ PE-- Y PGP t++ !5 !X R+ tv- b DI+ D+++ G++ e>+++++ h++ r? !y
------END GEEK CODE BLOCK------
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt

Paolo Mascellani-2
Ciao Alberto,

        diciamo che il caso d'uso non è proprio chiarissimo: se sei su una rete
privata normalmente non hai il problema che il certificato debba essere
firmato da una certification authority.

Comunque, il problema non è tanto l'IP, quanto il nome di dominio,
perché il certificato è legato al nome di dominio.

Per quel che ho capito io, Letsencrypt per firmare il certificato
richiede che tu sia l'amministratore della macchina che risponde al nome
di dominio per cui stai facendo il certificato, e lo verifica creando un
"token" che tu devi rendere accessibile tramite una URL pubblica del
dominio in questione.

Quindi, a meno che il tuo webserver sulla rete privata non abbia lo
stesso nome di un webserver pubblico di cui sei amministratore, direi
che non si può fare, a meno di "magheggi" che non so immaginare.

Ciao, Paolo.

> Volevo avere una informazione a riguardo.
> E' possibile utilizzare il certificato di letsencrypt su un ip privato
> di una rete aziendale non raggiungibile dall'esterno.

--
Paolo Mascellani - [hidden email]
eLabor sc - via G. Garibaldi 33, 56124 Pisa (+39 050 970 363)
[hidden email] - http://elabor.biz
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt

buda
Peccato perché il deploy di certificati ca su 4000 client windows è un casino ...soprattutto perché in ambiente win ogni browser li va a cercare in un posto diverso....
ho una miriade di chiamate ogni giorno per via dei certificati auto-firmati utilizzati sulle varie pagine di servizio su https.
buda

Il giorno 1 febbraio 2016 23:37, Paolo Mascellani <[hidden email]> ha scritto:
Ciao Alberto,

        diciamo che il caso d'uso non è proprio chiarissimo: se sei su una rete
privata normalmente non hai il problema che il certificato debba essere
firmato da una certification authority.

Comunque, il problema non è tanto l'IP, quanto il nome di dominio,
perché il certificato è legato al nome di dominio.

Per quel che ho capito io, Letsencrypt per firmare il certificato
richiede che tu sia l'amministratore della macchina che risponde al nome
di dominio per cui stai facendo il certificato, e lo verifica creando un
"token" che tu devi rendere accessibile tramite una URL pubblica del
dominio in questione.

Quindi, a meno che il tuo webserver sulla rete privata non abbia lo
stesso nome di un webserver pubblico di cui sei amministratore, direi
che non si può fare, a meno di "magheggi" che non so immaginare.

Ciao, Paolo.

> Volevo avere una informazione a riguardo.
> E' possibile utilizzare il certificato di letsencrypt su un ip privato
> di una rete aziendale non raggiungibile dall'esterno.

--
Paolo Mascellani - [hidden email]
eLabor sc - via G. Garibaldi 33, 56124 Pisa <a href="tel:%28%2B39%20050%20970%20363" value="+39050970363">(+39 050 970 363)
[hidden email] - http://elabor.biz
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
-----BEGIN GEEK CODE BLOCK-----
Version: 3.1
G d+ s:+++ a? C++++$ UL+++>++++$ !P L++++ E- W+ N !o K++++ w--- O+++ M
V? PS+++ PE-- Y PGP t++ !5 !X R+ tv- b DI+ D+++ G++ e>+++++ h++ r? !y
------END GEEK CODE BLOCK------
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt

AndreaPit
Ciao Alberto,
mi è già capitato di risolvere questo tipo di problema, ti spiego in linea di massima come ho fatto.

Come diceva Paolo, Letsencrypt per generare il certificato verifica che tu sia l'amministratore del dominio tramite "token" accessibile tramite url pubblica o avviando un server temporaneo standalone; il secondo è il metodo che ho scelto.

Quello che ho fatto è:
- far puntare temporaneamente i sottodomini pubblici che mi interessavano alla macchina dalla quale stavo lavorando;
- avviare il client di di Letsencrypt in modalità standalone con la richiesta del certificato;
- spostare i certificati generati nella macchina server della rete locale;
- eliminare i record DNS pubblici relativi ai sottodomini che devono essere accessibili solo tramite rete locale;
- configurare il server DNS della rete locale affinché gestisca tali sottodomini o modificare il file hosts su ogni macchina della rete locale (sempre più semplice del deploy di tutti i certificati).

A questo punto tutti i browser dovrebbero riconoscere come valido il certificato signato da Letsencrypt e non dovresti avere più problemi.

Spero di esser stato abbastanza chiaro e di esserti utile.

Ciao, Andrea.

Il giorno 2 febbraio 2016 01:10, alberto fiaschi <[hidden email]> ha scritto:
Peccato perché il deploy di certificati ca su 4000 client windows è un casino ...soprattutto perché in ambiente win ogni browser li va a cercare in un posto diverso....
ho una miriade di chiamate ogni giorno per via dei certificati auto-firmati utilizzati sulle varie pagine di servizio su https.
buda

Il giorno 1 febbraio 2016 23:37, Paolo Mascellani <[hidden email]> ha scritto:
Ciao Alberto,

        diciamo che il caso d'uso non è proprio chiarissimo: se sei su una rete
privata normalmente non hai il problema che il certificato debba essere
firmato da una certification authority.

Comunque, il problema non è tanto l'IP, quanto il nome di dominio,
perché il certificato è legato al nome di dominio.

Per quel che ho capito io, Letsencrypt per firmare il certificato
richiede che tu sia l'amministratore della macchina che risponde al nome
di dominio per cui stai facendo il certificato, e lo verifica creando un
"token" che tu devi rendere accessibile tramite una URL pubblica del
dominio in questione.

Quindi, a meno che il tuo webserver sulla rete privata non abbia lo
stesso nome di un webserver pubblico di cui sei amministratore, direi
che non si può fare, a meno di "magheggi" che non so immaginare.

Ciao, Paolo.

> Volevo avere una informazione a riguardo.
> E' possibile utilizzare il certificato di letsencrypt su un ip privato
> di una rete aziendale non raggiungibile dall'esterno.

--
Paolo Mascellani - [hidden email]
eLabor sc - via G. Garibaldi 33, 56124 Pisa <a href="tel:%28%2B39%20050%20970%20363" value="+39050970363" target="_blank">(+39 050 970 363)
[hidden email] - http://elabor.biz
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt

buda
Grazie mille, proverò ha forzare un redirect dai vecchi url su dominio fittizio locale  ai nuovi nomi visto che ormai sono url utilizzati da anni
Buda

Il giorno 2 febbraio 2016 02:38, Andrea Pitzalis <[hidden email]> ha scritto:
Ciao Alberto,
mi è già capitato di risolvere questo tipo di problema, ti spiego in linea di massima come ho fatto.

Come diceva Paolo, Letsencrypt per generare il certificato verifica che tu sia l'amministratore del dominio tramite "token" accessibile tramite url pubblica o avviando un server temporaneo standalone; il secondo è il metodo che ho scelto.

Quello che ho fatto è:
- far puntare temporaneamente i sottodomini pubblici che mi interessavano alla macchina dalla quale stavo lavorando;
- avviare il client di di Letsencrypt in modalità standalone con la richiesta del certificato;
- spostare i certificati generati nella macchina server della rete locale;
- eliminare i record DNS pubblici relativi ai sottodomini che devono essere accessibili solo tramite rete locale;
- configurare il server DNS della rete locale affinché gestisca tali sottodomini o modificare il file hosts su ogni macchina della rete locale (sempre più semplice del deploy di tutti i certificati).

A questo punto tutti i browser dovrebbero riconoscere come valido il certificato signato da Letsencrypt e non dovresti avere più problemi.

Spero di esser stato abbastanza chiaro e di esserti utile.

Ciao, Andrea.

Il giorno 2 febbraio 2016 01:10, alberto fiaschi <[hidden email]> ha scritto:
Peccato perché il deploy di certificati ca su 4000 client windows è un casino ...soprattutto perché in ambiente win ogni browser li va a cercare in un posto diverso....
ho una miriade di chiamate ogni giorno per via dei certificati auto-firmati utilizzati sulle varie pagine di servizio su https.
buda

Il giorno 1 febbraio 2016 23:37, Paolo Mascellani <[hidden email]> ha scritto:
Ciao Alberto,

        diciamo che il caso d'uso non è proprio chiarissimo: se sei su una rete
privata normalmente non hai il problema che il certificato debba essere
firmato da una certification authority.

Comunque, il problema non è tanto l'IP, quanto il nome di dominio,
perché il certificato è legato al nome di dominio.

Per quel che ho capito io, Letsencrypt per firmare il certificato
richiede che tu sia l'amministratore della macchina che risponde al nome
di dominio per cui stai facendo il certificato, e lo verifica creando un
"token" che tu devi rendere accessibile tramite una URL pubblica del
dominio in questione.

Quindi, a meno che il tuo webserver sulla rete privata non abbia lo
stesso nome di un webserver pubblico di cui sei amministratore, direi
che non si può fare, a meno di "magheggi" che non so immaginare.

Ciao, Paolo.

> Volevo avere una informazione a riguardo.
> E' possibile utilizzare il certificato di letsencrypt su un ip privato
> di una rete aziendale non raggiungibile dall'esterno.

--
Paolo Mascellani - [hidden email]
eLabor sc - via G. Garibaldi 33, 56124 Pisa <a href="tel:%28%2B39%20050%20970%20363" value="+39050970363" target="_blank">(+39 050 970 363)
[hidden email] - http://elabor.biz
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp



_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
-----BEGIN GEEK CODE BLOCK-----
Version: 3.1
G d+ s:+++ a? C++++$ UL+++>++++$ !P L++++ E- W+ N !o K++++ w--- O+++ M
V? PS+++ PE-- Y PGP t++ !5 !X R+ tv- b DI+ D+++ G++ e>+++++ h++ r? !y
------END GEEK CODE BLOCK------
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt

Nicola Corti
In reply to this post by Paolo Cavallini
Il 01/02/2016 18:28, Paolo Cavallini ha scritto:
> eì possibile avere le slides, o i comandi, o qualcosa del genere?

Per rispondere alla tua domanda iniziale...
Sì, metteremo le slides sul sito del GULP.

Nic
--
Nicola Corti
[hidden email]
http://www.ncorti.com
"Guardate lontano, e anche quando credete di star guardando lontano,
guardate ancora più lontano!"


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp

signature.asc (484 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt

Paolo Mascellani-2
In reply to this post by buda
Ciao Buda,

        vedi che il caso d'uso aiuta?

Probabilmente, in questo caso, come ti è stato già suggerito, è
possibile per te rendere temporaneamente pubblici i nomi di dominio,
quindi fare la procedura normale ed infine eliminare i nomi pubblici
(magari dagli un TTL basso ...).

Paolo.

> Peccato perché il deploy di certificati ca su 4000 client windows è un
> casino ...soprattutto perché in ambiente win ogni browser li va a
> cercare in un posto diverso....
> ho una miriade di chiamate ogni giorno per via dei certificati
> auto-firmati utilizzati sulle varie pagine di servizio su https.
> buda

--
Paolo Mascellani - [hidden email]
eLabor sc - via G. Garibaldi 33, 56124 Pisa (+39 050 970 363)
[hidden email] - http://elabor.biz
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Giu
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt

Giu

> Il giorno 02 feb 2016, alle ore 10:35, Paolo Mascellani <[hidden email]> ha scritto:
>
> Ciao Buda,
>
> vedi che il caso d'uso aiuta?
>
> Probabilmente, in questo caso, come ti è stato già suggerito, è
> possibile per te rendere temporaneamente pubblici i nomi di dominio,
> quindi fare la procedura normale ed infine eliminare i nomi pubblici
> (magari dagli un TTL basso ...).
>
> Paolo.


Letsencrypt permette (non rispettando la normativa vigente dal 2012) di generare
certificati validi anche per tld fasulli?

Giuseppe
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt

Paolo Mascellani-2
Ciao Giuseppe,

        immagino che se si usa un tld fasullo la cosa non riesca comunque,
visto che il server con quel nome deve essere raggiungibile da lestencrypt.

La pubblica amministrazione usa tld fasulli? Per quale motivo? Se se le
cercano ... le trovano ...

Paolo.

>> Ciao Buda,
>>
>> vedi che il caso d'uso aiuta?
>>
>> Probabilmente, in questo caso, come ti è stato già suggerito, è
>> possibile per te rendere temporaneamente pubblici i nomi di dominio,
>> quindi fare la procedura normale ed infine eliminare i nomi pubblici
>> (magari dagli un TTL basso ...).
>>
>> Paolo.
>
>
> Letsencrypt permette (non rispettando la normativa vigente dal 2012) di generare
> certificati validi anche per tld fasulli?
>
> Giuseppe
> _______________________________________________
> Gulp mailing list
> [hidden email]
> http://lists.gulp.linux.it/mailman/listinfo/gulp
>


--
Paolo Mascellani - [hidden email]
eLabor sc - via G. Garibaldi 33, 56124 Pisa (+39 050 970 363)
[hidden email] - http://elabor.biz
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt

buda
nella rete privata aziendale  si usano tld fasulli, anzi è bene che sia fasullo.
Buda

Il giorno 2 febbraio 2016 11:07, Paolo Mascellani <[hidden email]> ha scritto:
Ciao Giuseppe,

        immagino che se si usa un tld fasullo la cosa non riesca comunque,
visto che il server con quel nome deve essere raggiungibile da lestencrypt.

La pubblica amministrazione usa tld fasulli? Per quale motivo? Se se le
cercano ... le trovano ...

Paolo.

>> Ciao Buda,
>>
>>      vedi che il caso d'uso aiuta?
>>
>> Probabilmente, in questo caso, come ti è stato già suggerito, è
>> possibile per te rendere temporaneamente pubblici i nomi di dominio,
>> quindi fare la procedura normale ed infine eliminare i nomi pubblici
>> (magari dagli un TTL basso ...).
>>
>> Paolo.
>
>
> Letsencrypt permette (non rispettando la normativa vigente dal 2012) di generare
> certificati validi anche per tld fasulli?
>
> Giuseppe
> _______________________________________________
> Gulp mailing list
> [hidden email]
> http://lists.gulp.linux.it/mailman/listinfo/gulp
>


--
Paolo Mascellani - [hidden email]
eLabor sc - via G. Garibaldi 33, 56124 Pisa <a href="tel:%28%2B39%20050%20970%20363" value="+39050970363">(+39 050 970 363)
[hidden email] - http://elabor.biz
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
-----BEGIN GEEK CODE BLOCK-----
Version: 3.1
G d+ s:+++ a? C++++$ UL+++>++++$ !P L++++ E- W+ N !o K++++ w--- O+++ M
V? PS+++ PE-- Y PGP t++ !5 !X R+ tv- b DI+ D+++ G++ e>+++++ h++ r? !y
------END GEEK CODE BLOCK------
Giu
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt

Giu
In reply to this post by Paolo Mascellani-2

> Il giorno 02 feb 2016, alle ore 11:07, Paolo Mascellani <[hidden email]> ha scritto:
>
> Ciao Giuseppe,
>
> immagino che se si usa un tld fasullo la cosa non riesca comunque,
> visto che il server con quel nome deve essere raggiungibile da lestencrypt.
>
> La pubblica amministrazione usa tld fasulli? Per quale motivo? Se se le
> cercano ... le trovano ...
>
> Paolo.
>

Paolo la risposta è si.
Per la motivazione (a mio avviso molto valida) magari ne parliamo a voce.

Giu
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt

Paolo Mascellani-2
In reply to this post by buda
Ciao,

> nella rete privata aziendale  si usano tld fasulli, anzi è
> bene che sia fasullo.

Può darsi, ma ho forti dubbi.

Comunque, tra i difetti di questa soluzione, c'è anche, credo, che non è
possibile avere certificati da Letsencrypt e penso anche da qualsiasi
altra certification authority.

Ciao, Paolo.

--
Paolo Mascellani - [hidden email]
eLabor sc - via G. Garibaldi 33, 56124 Pisa (+39 050 970 363)
[hidden email] - http://elabor.biz
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt

buda
Mi rendo conto che ho portato questa discussione fuori tema e me ne scuso.
Comunque se siete curiosi penso che procederò ad  installare la mia CA tramite ocs-inventory .Per ie e chrome è facile perché usano le  ca di  windows ... mentre firefox ( giustamente) non lo fa. Per cui dovrò realizzare degli script prendendo spunto da qui ...http://stackoverflow.com/questions/1435000/programmatically-install-certificate-into-mozilla
Buda

Il giorno 2 febbraio 2016 11:45, Paolo Mascellani <[hidden email]> ha scritto:
Ciao,

> nella rete privata aziendale  si usano tld fasulli, anzi è
> bene che sia fasullo.

Può darsi, ma ho forti dubbi.

Comunque, tra i difetti di questa soluzione, c'è anche, credo, che non è
possibile avere certificati da Letsencrypt e penso anche da qualsiasi
altra certification authority.

Ciao, Paolo.

--
Paolo Mascellani - [hidden email]
eLabor sc - via G. Garibaldi 33, 56124 Pisa <a href="tel:%28%2B39%20050%20970%20363" value="+39050970363">(+39 050 970 363)
[hidden email] - http://elabor.biz
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
-----BEGIN GEEK CODE BLOCK-----
Version: 3.1
G d+ s:+++ a? C++++$ UL+++>++++$ !P L++++ E- W+ N !o K++++ w--- O+++ M
V? PS+++ PE-- Y PGP t++ !5 !X R+ tv- b DI+ D+++ G++ e>+++++ h++ r? !y
------END GEEK CODE BLOCK------
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt

Paolo Cavallini
In reply to this post by Nicola Corti
Il 02/02/2016 10:18, Nicola Corti ha scritto:

> Per rispondere alla tua domanda iniziale...
> Sì, metteremo le slides sul sito del GULP.

allora aspetto quelle, se poi non capisco chiedero' qua.
grazie.

--
Paolo Cavallini - www.faunalia.eu
QGIS & PostGIS courses: http://www.faunalia.eu/training.html
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt

giomasce
Administrator
In reply to this post by AndreaPit
Salve.

Il 02/02/2016 02:38, Andrea Pitzalis ha scritto:
> Quello che ho fatto è:
> - far puntare temporaneamente i sottodomini pubblici che mi
> interessavano alla macchina dalla quale stavo lavorando;
> - avviare il client di di Letsencrypt in modalità standalone con la
> richiesta del certificato;

Non è necessario fare una procedura così complicata. Il client
letsencrypt possiede anche una modalità di funzionamento "a mano" in cui
ti dice di creare un file accessibili da una certa URL con un certo
contenuto. Tu lo fai, anche mediante una macchina diversa da quella con
cui stai lavorando, e lui è felice e ti dà il certificato. Senza
spostare roba sul DNS o simili.

La parte un pochino più noiosa è che devi rifare la stessa cosa ogni tre
mesi (questo è il tempo di scadenza dei certificati), ma dovendo
spostare i DNS sarebbe ancora peggio.

Questo protocollo di verifica del possesso dei nomi di dominio è molto
scomodo ed insicuro, però per ora non mi sembra che nessuno si sia
riuscito ad inventare di meglio.

Ciao, Giovanni.
--
Giovanni Mascellani <[hidden email]>
PhD Student - Scuola Normale Superiore, Pisa, Italy

http://poisson.phc.unipi.it/~mascellani


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp

signature.asc (836 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt

Paolo Mascellani-2
Ciao Giovanni,

        comunque, se non erro, il server da cui Letsencrypt scarica il "token"
è quello per cui sta generando il certificato; quindi deve comunque
essere un server raggiungibile da Letsencrypt e che tu puoi amministrare.

Giusto?

Sì: la validità di tre mesi è un po' noiosa ... io spero che l'abbiano
fissata solo temporaneamente, per essere sicuri che tutto funzionasse e
non mettere in giro certificati eventualmente "bacati" a scadenza molto
lunga e che in futuro permettano di utilizzare durate maggiori.

Paolo.

>> Quello che ho fatto è:
>> - far puntare temporaneamente i sottodomini pubblici che mi
>> interessavano alla macchina dalla quale stavo lavorando;
>> - avviare il client di di Letsencrypt in modalità standalone con la
>> richiesta del certificato;
>
> Non è necessario fare una procedura così complicata. Il client
> letsencrypt possiede anche una modalità di funzionamento "a mano" in cui
> ti dice di creare un file accessibili da una certa URL con un certo
> contenuto. Tu lo fai, anche mediante una macchina diversa da quella con
> cui stai lavorando, e lui è felice e ti dà il certificato. Senza
> spostare roba sul DNS o simili.
>
> La parte un pochino più noiosa è che devi rifare la stessa cosa ogni tre
> mesi (questo è il tempo di scadenza dei certificati), ma dovendo
> spostare i DNS sarebbe ancora peggio.
>
> Questo protocollo di verifica del possesso dei nomi di dominio è molto
> scomodo ed insicuro, però per ora non mi sembra che nessuno si sia
> riuscito ad inventare di meglio.
>
> Ciao, Giovanni.

--
Paolo Mascellani - [hidden email]
eLabor sc - via G. Garibaldi 33, 56124 Pisa (+39 050 970 363)
[hidden email] - http://elabor.biz
_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt

giomasce
Administrator
Ciao.

Il 03/02/2016 17:59, Paolo Mascellani ha scritto:
> Ciao Giovanni,
>
> comunque, se non erro, il server da cui Letsencrypt scarica il "token"
> è quello per cui sta generando il certificato; quindi deve comunque
> essere un server raggiungibile da Letsencrypt e che tu puoi amministrare.
>
> Giusto?

Sì, in ogni caso devi avere un dominio valido ed un server che risponde
in HTTP a quel dominio.

> Sì: la validità di tre mesi è un po' noiosa ... io spero che l'abbiano
> fissata solo temporaneamente, per essere sicuri che tutto funzionasse e
> non mettere in giro certificati eventualmente "bacati" a scadenza molto
> lunga e che in futuro permettano di utilizzare durate maggiori.

No, è una scelta di progetto ed è definitiva (anzi, non escludono di
ridurre ulteriormente in futuro).

  https://letsencrypt.org/2015/11/09/why-90-days.html

Ciao, Gio.
--
Giovanni Mascellani <[hidden email]>
PhD Student - Scuola Normale Superiore, Pisa, Italy

http://poisson.phc.unipi.it/~mascellani


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp

signature.asc (836 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: letsencrypt

Nicola Corti

La risposta a questa ed altre domande...stasera al MixArt, ore 21.30 :-)
Nicola

Il 03 feb 2016 6:28 PM, "Giovanni Mascellani" <[hidden email]> ha scritto:
Ciao.

Il 03/02/2016 17:59, Paolo Mascellani ha scritto:
> Ciao Giovanni,
>
>       comunque, se non erro, il server da cui Letsencrypt scarica il "token"
> è quello per cui sta generando il certificato; quindi deve comunque
> essere un server raggiungibile da Letsencrypt e che tu puoi amministrare.
>
> Giusto?

Sì, in ogni caso devi avere un dominio valido ed un server che risponde
in HTTP a quel dominio.

> Sì: la validità di tre mesi è un po' noiosa ... io spero che l'abbiano
> fissata solo temporaneamente, per essere sicuri che tutto funzionasse e
> non mettere in giro certificati eventualmente "bacati" a scadenza molto
> lunga e che in futuro permettano di utilizzare durate maggiori.

No, è una scelta di progetto ed è definitiva (anzi, non escludono di
ridurre ulteriormente in futuro).

  https://letsencrypt.org/2015/11/09/why-90-days.html

Ciao, Gio.
--
Giovanni Mascellani <[hidden email]>
PhD Student - Scuola Normale Superiore, Pisa, Italy

http://poisson.phc.unipi.it/~mascellani


_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp

_______________________________________________
Gulp mailing list
[hidden email]
http://lists.gulp.linux.it/mailman/listinfo/gulp