Come ottenere un certificato da Let's Encrypt per il server che non consente la creazione di file

1

Sto utilizzando un certificato SSL firmato da Verisign per il mio server VPN che è ospitato sulla rete pubblica e che i dipendenti della mia azienda usano per connettersi alla rete aziendale attraverso questo server.
Il sistema usa online 24 * 7 e sarà difficile fare un downtime.

Nel mio server VPN, non ho il permesso di creare o modificare i file web (o in parole semplici, ho solo la GUI di quella macchina e dalla GUI, posso solo caricare il file del certificato come .pem o certificato catena sul server).

Ora, sto pensando di ottenere il certificato dal server Let's Encrypt (per l'ovvia ragione di risparmiare qualche dollaro).

Ho alcuni dubbi nella mia mente come -

  1. Devo andare su Let's Encrypt o no?
  2. È sicuro avere un certificato da Let's Encrypt?
  3. La domanda più importante , ho seguito la procedura per ottenere un certificato da Let's Encrypt; Quello che ho capito è che devo installare lo strumento ACME o alcuni script che faranno automaticamente i lavori per me.
    Ora, ho una limitazione che la mia casella VPN non mi permette di installare nulla a parte alcuni codici specifici (generalmente patch) forniti da OEM.
    Inoltre, nella procedura, è stato menzionato che ACME (o altri script simili) creerà un file temporaneo con un po 'di testo inutile per controllare la proprietà del dominio tramite il programma Let's Encrypt. Il mio server non ha questa capacità.

Che cosa devo fare per ottenere il certificato SSL da Let's Encrypt.

    
posta Gaurav Kansal 25.10.2016 - 10:46
fonte

2 risposte

2

Let's Encrypt è ottimizzato per l'utilizzo automatico . Esistono interfacce Web e strumenti da riga di comando che puoi utilizzare in manual per convalidare e ottenere i file .pem del certificato. Tuttavia, ciò è inopportuno e Let's Encrypt certificate scadono dopo 3 mesi .

Tuttavia, molti registrar (ad esempio NameCheap solo per nominarne uno) offrono certificati DV per $ 10 (USD) all'anno . Questo è ottimizzato per l'installazione manuale dei certificati e ti consentirà di rinnovare una volta ogni 3 anni anziché ogni 12 settimane.

Nel peggiore dei casi, stai spendendo $ 10 per risparmiare 1-2 ore di lavoro e tracciamento ogni anno. Nel migliore dei casi ti stai salvando da un inattività accidentale.

Is it secure to have a certificate from Let's Encrypt ?

Sì. Citando @Simone Carletti: "Let's Encrypt è un'autorità di certificazione e hanno più o meno gli stessi privilegi e la stessa potenza di qualsiasi altra autorità di certificazione esistente (e più grande) sul mercato."

Ipoteticamente, se una CA viene compromessa, l'attaccante può firmare i certificati per qualsiasi dominio.

  • I tuoi visitatori potrebbero essere soggetti a MiTM da questo particolare aggressore. Questo è parzialmente mitigato se hai usato Public Pinning . In entrambi i casi, non importa se hai utilizzato la CA compromessa o no . I browser si fidano di tutte le CA allo stesso modo.

  • Una volta individuata la violazione, molti browser smetteranno di fidarsi della CA compromessa. Per quei browser - solo se eri utilizzando la CA compromessa - il tuo sito sarebbe andato giù, niente di più. Passare a un'altra CA per ripristinare il servizio.

La chiave privata e il processo DV possono essere completamente protetti anche dagli attacchi informatici più sofisticati. (eccetto DoS che non è rilevante qui) Sarebbe raro che una CA esponga accidentalmente una vulnerabilità che consente a tale attacco di avere successo . Il punto di errore più probabile diventa l'uomo che lavora nell'azienda, quindi anche una buona struttura organizzativa presso l'AC è importante.

I had gone through the procedure for getting a certificate from Let's Encrypt; What i understand was that i have to install ACME tool or some scripts which will do the jobs automatically for me.

Questo è ciò per cui è ottimizzato, ma esistono soluzioni alternative manuali.

ACME (or similar other scripts) will create a temporary file with some garbage text for checking the domain ownership by Let's Encrypt program. My Server doesn't have this capabilities.

Non lo chiamerei spazzatura lol! Ma sì, questo token casuale è chiamato convalida HTTP di una richiesta di certificato, ed è così che funziona il sistema ACME.

Let's Encrypt potrebbe offrire un modo per utilizzare la convalida DNS, nel qual caso il token casuale viene inserito in un record TXT .

Tuttavia, le AC tradizionali (rivendute per $ 10 / anno) offrono la convalida dell'email. Questo è quello che uso di solito ed è il più facile da affrontare. Il token casuale è incluso in un link sull'e-mail, quindi è piuttosto facile da usare.

    
risposta data 27.10.2016 - 17:47
fonte
3

Should i go for Let's Encrypt or not ?

Potresti, se sei disposto a cambiarlo manualmente ogni 3 mesi. Ma allora, è gratis allora perché no? Risparmierai un sacco di soldi.

Is it secure to have a certificate from Let's Encrypt ?

Bene, hanno un record abbastanza pulito, fino a oggi. Puoi fare riferimento al link per questo. Suggerirei che sono abbastanza sicuri.

What should i do to get the SSL certificate from Let's Encrypt.

Poiché non è possibile ottenere un tempo di fermo e si desidera utilizzare Let's Encrypt rilasciato certificato. Puoi ottenere quanto segue per ottenere il certificato:

  • Avrai bisogno di accedere al file di zona del tuo dominio, presumendo che tu abbia questo.
  • Scarica lo script ACME per dare le informazioni sulla CSR allo script, usa link
  • Utilizza la modalità DNS dello script, ti chiederà di creare un record DNS txt.
  • Avrai i file PEM con te, caricali sul server VPN e questo è tutto fatto.

Aggiornamento:

O In alternativa puoi farlo in due modi:

  • Invece di " Usa modalità DNS " puoi utilizzare "Utilizza server autonomo per emettere certificato"
  • In questa modalità, Let's Encrypt cercherebbe di raggiungere il tuo server sulla porta 80.
  • Ogni volta che qualsiasi cosa proverebbe a raggiungere il server VPN sulla porta 80, è possibile eseguirne la DNAT su un altro IP che soddisfa i requisiti. OPPURE puoi cercare l'origine di encrypt e DNAT ogni volta che la fonte viene lasciata cifrare. (Naturalmente è necessario un firewall intermedio per ottenere ciò)

Spero che questo aiuti!

    
risposta data 25.10.2016 - 11:28
fonte

Leggi altre domande sui tag