CVT FI

RSS

Novinky, zajímavosti a změny v provozu počítačů, počítačové sítě, prezentační a další techniky na FI MU. Další informace jsou dostupné v Technických informacích na webu fakulty.

Pro hlášení problémů prosím kontaktujte příslušnou sekci CVT FI.

Informace o aktuálních problémech naleznete na stránce o výpadcích.

Vlastníci blogu: FI:unix@fi, FI:CVT FI
Starší příspěvky
Kategorie
Vlastníci blogu: FI:unix@fi, FI:CVT FI
Právo číst: kdokoliv v Internetu
Právo komentovat: kdokoliv přihlášený v ISu
20. 4.
2017

TLS certifikáty od Let's Encrypt

  • RSS
Informačně přínosné | 3 | 3
RNDr. Jan Kasprzak, Ph.D. (CVT FI MU), učo 1885
unix
CVT FI nyní nabízí uživatelům serverové TLS certifikáty od certifikační autority Let's Encrypt.

Certifikační autorita Let's Encrypt představuje inovativní přístup k vystavování certifikátů pro služby využívající protokol TLS/SSL (například HTTPS). Systém je postaven na plně automatizovaném prověřování vlastnictví doménového jména počítače pomocí publikování podepsané výzvy protokolem HTTP. Po ověření vlastnictví doménového jména je následně plně automatizovaným postupem vystaven certifikát. Certifikát pro novou službu platný v běžných webových prohlížečích je tak možno získat včetně konfigurace v řádu minut od zprovoznění samotného HTTP serveru.

Podstatným rozdílem oproti běžným certifikačním autoritám je platnost certifikátu: zatímco běžně se certifikáty vystavují s platností na rok nebo dva roky, Let's Encrypt vystavuje certifikáty s platností pouze na tři měsíce. Tato vlastnost nicméně tlačí uživatele k tomu, aby proces periodického obnovování platnosti certifikátu plně automatizovali, a v důsledku tak může přinést úsporu práce proti ruční aktualizaci certifikátu každý rok nebo dva, nehledě na větší spolehlivost automatizovaného procesu.

V posledních měsících jsme v CVT FI začali pro některé námi spravované služby používat certifikáty od Let's Encrypt. Abychom nemuseli na každý server, kde je certifikát LE použitý, instalovat příslušného klienta pro obnovení certifikátu, vyvinuli jsme nástroj, kdy obnovování certifikátů běží centrálně, a na příslušných serverech je třeba pouze umět automatizovaně vystavit podepsanou výzvu a následně nainstalovat obnovený certifikát.

Tuto službu nyní nabízíme všem správcům HTTP serverů v síti FI: pomocí jednoduché sady skriptů, dostupné přes fakultní Gitlab, můžeme pro příslušné servery zajistit vystavení a automatizované obnovování certifikátů Let's Encrypt, aniž by správce serveru musel celý proces studovat a zprovozňovat si vlastního klienta pro Let's Encrypt. Podrobnější postup najdete v dokumentaci těchto skriptů.

Kromě certifikátů Let's Encrypt budeme samozřejmě i nadále zprostředkovávat vystavování certifikátů Terena přes CESNET, jako tomu bylo doposud.

Dosud nečteno0 komentářůpermalink
« Nový studentský server Aisa (2. 3. 2017 15:26) | Stratus.FI: IPv4 internet už aj bez proxy » (31. 5. 2017 17:52)

Zatím žádné komentáře.