20. 4.
2017
CVT FI nyní nabízí uživatelům serverové TLS certifikáty od certifikační autority Let's Encrypt.
Certifikační autorita Let's Encrypt představuje inovativní přístup k vystavování certifikátů pro služby využívající protokol TLS/SSL (například HTTPS). Systém je postaven na plně automatizovaném prověřování vlastnictví doménového jména počítače pomocí publikování podepsané výzvy protokolem HTTP. Po ověření vlastnictví doménového jména je následně plně automatizovaným postupem vystaven certifikát. Certifikát pro novou službu platný v běžných webových prohlížečích je tak možno získat včetně konfigurace v řádu minut od zprovoznění samotného HTTP serveru.
Podstatným rozdílem oproti běžným certifikačním autoritám je platnost certifikátu: zatímco běžně se certifikáty vystavují s platností na rok nebo dva roky, Let's Encrypt vystavuje certifikáty s platností pouze na tři měsíce. Tato vlastnost nicméně tlačí uživatele k tomu, aby proces periodického obnovování platnosti certifikátu plně automatizovali, a v důsledku tak může přinést úsporu práce proti ruční aktualizaci certifikátu každý rok nebo dva, nehledě na větší spolehlivost automatizovaného procesu.
V posledních měsících jsme v CVT FI začali pro některé námi spravované služby používat certifikáty od Let's Encrypt. Abychom nemuseli na každý server, kde je certifikát LE použitý, instalovat příslušného klienta pro obnovení certifikátu, vyvinuli jsme nástroj, kdy obnovování certifikátů běží centrálně, a na příslušných serverech je třeba pouze umět automatizovaně vystavit podepsanou výzvu a následně nainstalovat obnovený certifikát.
Tuto službu nyní nabízíme všem správcům HTTP serverů v síti FI: pomocí jednoduché sady skriptů, dostupné přes fakultní Gitlab, můžeme pro příslušné servery zajistit vystavení a automatizované obnovování certifikátů Let's Encrypt, aniž by správce serveru musel celý proces studovat a zprovozňovat si vlastního klienta pro Let's Encrypt. Podrobnější postup najdete v dokumentaci těchto skriptů.
Kromě certifikátů Let's Encrypt budeme samozřejmě i nadále zprostředkovávat vystavování certifikátů Terena přes CESNET, jako tomu bylo doposud.