тоько LE это кусок говна

не, я тоже им пользуюсь. но меня постоянно. тошнит

Тебе именно их certbot не нравится?

Это их родное? А ты внутрь смотрел? Это же пиздец

P.S. У меня практически нет ситуаций 1 сайт = 1 виртуалка. Даже клиенты у меня специфические. А у стандартной либы плохо с шагами в сторону. Раздербанить стандартную библиотеку маловозможно - они рукожопые там. Дербанил библиотеку какого-то финна - ManuaLe

P.S. У меня практически нет ситуаций 1 сайт = 1 виртуалка. Даже клиенты у меня специфические. А у стандартной либы плохо с шагами в сторону. Раздербанить стандартную библиотеку маловозможно - они рукожопые там. Дербанил библиотеку какого-то финна - ManuaLe

Дык есть куча альтернативных клиентов

На го, на баше, на перле

https://github.com/diafygi/acme-tiny например

Дык есть куча альтернативных клиентов

Есть. Но там и протокол гавно. И имплементация сервера гавно

Ты копался? Это же пиздец они звездолет придумали на 9 простейших действий (я считал). Ещё и JWT (нахуй он там нужен?). Ещё и нельзя посмотреть какие домены когда протухают по проверке. Да вообще нельзя посмотреть статус домена. Т.е. нужного функционала нет, лишнего дохуя

Это их родное? А ты внутрь смотрел? Это же пиздец

Смотрел. У меня свой враппер вокруг acme-tiny

На баше

https://git.fleshless.org/le тоже говно правда

конец 2016 года. они вляпались в то, что все домены к ним прилетают в декодированном представлении. а проверяют по списку public zones они в кодированном. они полгода это починить не могут

я или manuale, или simp_le обычно использую

вернее не manuale, а perkele

я так ещё и не попробовал, но вот этот Caddy Server ведь сам умеет всё продлевать?

надо кстати его актуализировать и почистить

все эти LE сертификаты

можно просто поставить его и забыть про это

я так ещё и не попробовал, но вот этот Caddy Server ведь сам умеет всё продлевать?

вот это "сам" меня и пугает

Вот да. Мне больше нравится конь троллировать процесс

Раз в три месяца команду запустить, когда мониторинг заорал

можно просто поставить его и забыть про это

Ты как всегда говоришь сам собой. Я тебе в уши прямо лично вливаю - у меня нет ситуаций "1 сайт = 1 виртуалка". Большинство этих серверов или сложно или никак не настраивается на другие схемы. Более того, не очень ясно как это дружить с nginx. Большинство из них это делают херовато

Но на парке я бы в крон сунул

я так ещё и не попробовал, но вот этот Caddy Server ведь сам умеет всё продлевать?

А если у тебя фронтенд и бэкенды вразных местах - вот тут ты пляски с бубном начинаешь

Именно так я кстати perkele и сделал

А если у тебя фронтенд и бэкенды вразных местах - вот тут ты пляски с бубном начинаешь

Почему? Ловишь верификацию домена там, где у тебя фронтенд

Хотя проблемы если у тебя пачка фронтендов

Они там научились через днс верифицировать? Обещали вроде.

Хотя проблемы если у тебя пачка фронтендов

Угу.

Они там научились через днс верифицировать? Обещали вроде.

давно. но для этого нужно API к DNS. и чтобы сервер об этом знал

Я в метро с телефона, лень проверять.

Собственно надо вот мне perkele на тему встраиваемости доделать

Эээ. Они там каждый раз уникальный токен дергают?

Эээ. Они там каждый раз уникальный токен дергают?

????

Ты как всегда говоришь сам собой. Я тебе в уши прямо лично вливаю - у меня нет ситуаций "1 сайт = 1 виртуалка". Большинство этих серверов или сложно или никак не настраивается на другие схемы. Более того, не очень ясно как это дружить с nginx. Большинство из них это делают херовато

может быть, другие схемы просто устарели?

В днс нельзя один токен добавить на всю жизнь домена?

В днс нельзя один токен добавить на всю жизнь домена?

Нет конечно

может быть, другие схемы просто устарели?

Ты живешь в своем мире

Ты живешь в своем мире

ну почему, виртуалка сейчас стоит менее 100 рублей?

В днс нельзя один токен добавить на всю жизнь домена?

Если ты с LE работал - ты даже если случайно токен потерял подсмотреть его е можешь

ну почему, виртуалка сейчас стоит менее 100 рублей?

Я не хочу с тобой спорить. Прости. Ты никогда не слушаешь и получается бессмысленный флуд

@schors а почему не работает вариант с проксированием?

ну, ты ругаешь LE за то, что им наплевать на shared хостинг-провайдеров

ну почему, виртуалка сейчас стоит менее 100 рублей?

Бизнес-виртуалка? 100 рублей? С гарантированными ресурсами и специфицированным SSD? Да ну?

ну, ты ругаешь LE за то, что им наплевать на shared хостинг-провайдеров

Нет. Я ругаю LE за то что это кусок говна. От самого протокола, до штатной библиотеки внутри

@schors а почему не работает вариант с проксированием?

чо?

чо?

Я видимо не понимаю о чем спор

Я видимо не понимаю о чем спор

Ну например ты терминируешь tls на кластере перед серверами

в общем, у меня просто стоит 1 сервер с nginx и вообще все домены поключены туда, там через certbot я раз в 3 месяца вручную запускаю команду renew, у меня есть напоминалка об этом, то есть просто docker run ... renew, 1 команда, она всё делает (то есть там 2 образа - с nginx, который всегда запушен, и с letsencrypt, который вручную запускается раз в 3 месяца)

Уже начинается веселье с верификацией

Дьявол в деталях

и этот nginx уже проксирует ко всем остальным сервисам на других серверах

Собственно мы в .m этот вопрос обсуждали долго

в общем, у меня просто стоит 1 сервер с nginx и вообще все домены поключены туда, там через certbot я раз в 3 месяца вручную запускаю команду renew, у меня есть напоминалка об этом, то есть просто docker run ... renew, 1 команда, она всё делает (то есть там 2 образа - с nginx, который всегда запушен, и с letsencrypt, который вручную запускается раз в 3 месяца)

А если ляжет этот сервер?

А если ляжет этот сервер?

ну, ляжет и ляжет?

а если другие лягут?

Уже начинается веселье с верификацией

Так какое, если можно проксировать локейшн один и в общем быть достаточно довольным с виду

а если другие лягут?

Ну типа HA, все дела.. не?

тогда systemd перезапустит

Ну типа HA, все дела.. не?

ну, можно сделать 2 балансировщика вместо 1

Так какое, если можно проксировать локейшн один и в общем быть достаточно довольным с виду

DNS-верификация рулит.

Так какое, если можно проксировать локейшн один и в общем быть достаточно довольным с виду

Ты не знаешь, на какую машину кластера приходит запрос каждый раз

ну, можно сделать 2 балансировщика вместо 1

А вот здесь уже пляски начнутся с синхронизацией же

Соотв. не знаю, гластер какой-нибудь сразу

ERROR: S client not available

А вот здесь уже пляски начнутся с синхронизацией же

http://docs.aws.amazon.com/Route53/latest/DeveloperGuide/dns-failover.html

запихиваем эти балансировщики в Route 53

Ты не знаешь, на какую машину кластера приходит запрос каждый раз

ты можешь отправить этот запрос на одну конкретную машину всегда. например, на машину, которая у тебя вкоммитит сертификат в puppet/salt/chef

но DNS-верификация решает эти проблемы совсем. вам даже сайт работающий не нужен.

Ты не знаешь, на какую машину кластера приходит запрос каждый раз

Не вижу проблем. Прокси пасс на один из пары серверов и все

Што. Ты не отправляешь запросы, это ле делает

Конкретных локейшенов

Што. Ты не отправляешь запросы, это ле делает

а ты их принимаешь.

Ебать у нас с вами мисматч масштабов, ребята

Ебать у нас с вами мисматч масштабов, ребята

уверен?..

Не вижу проблем. Прокси пасс на один из пары серверов и все

?

Вы хотите в одной точке ловить локейшн и кидать его на конкретную мпшину? А не дохуя ли это точка отказа

Ебать у нас с вами мисматч масштабов, ребята

Ну мы покрупнее будем да

И что?

Вот чувак выше еще крупнее

Я даже рискну сказать что на порядок

Я говорю все это по опыту работы в мастерхосте если что

но DNS-верификация решает эти проблемы совсем. вам даже сайт работающий не нужен.

Только ты прикрути DNS-верификацию к станлдартному чему-нибудь

Только ты прикрути DNS-верификацию к станлдартному чему-нибудь

я прикручивал.

Не гигант, но и не маленький хостинг

route53 ок, руцентр ок, яндекс-пдд ок, кастомный паверднс с апи - ок. прикрутить можно к чему угодно, где можно автоматически добавлять записи

я прикручивал.

Не. Я не говорю что нельзя. Но там ни у кого из них нет точки куда штатно воткнуться

Не гигант, но и не маленький хостинг

Я понимаю, но все равно уверен что контора где работает Сергей минимум на порядок больше

Пока я слышу разговоры тут про ололо у меня два нжинкса и я где-то в одной точке терминирую http/s

Я понимаю, но все равно уверен что контора где работает Сергей минимум на порядок больше

Да? :)

Не. Я не говорю что нельзя. Но там ни у кого из них нет точки куда штатно воткнуться

да ладно? япдд - одна строчка на курле. https://github.com/lukas2511/dehydrated/wiki/Examples-for-DNS-01-hooks

Это ну блядь смешно

Пока я слышу разговоры тут про ололо у меня два нжинкса и я где-то в одной точке терминирую http/s

Одна точка это вполне может быть ecmp поверх сотни серверов

Например

Это ну блядь смешно

не смешно. у вас проблема будет скорее не в отказоустойчивости, а в лимите количества сертификатов выпускаемых LE.

не смешно. у вас проблема будет скорее не в отказоустойчивости, а в лимите количества сертификатов выпускаемых LE.

Да-да, но это решаемо письмом к нии.

да ладно? япдд - одна строчка на курле. https://github.com/lukas2511/dehydrated/wiki/Examples-for-DNS-01-hooks

Бля. Ну так это чьё-то наколенное решение а не популярные сервера типа родного