epic

Pro
Se incorporó
11 Febrero 2007
Mensajes
846
Hola a todos, una preguta corta... estos certificados se generan por 3 meses y luego vencen para renovarlo se debe crear una tarea con el comando de renovación, mi consulta es: si los genero y luego copio ese certificado a otra maquina para usarlos y pasan los 3 meses que sucede?? ya que en esta maquina solo estarían los cert pero no todo el proceso de generacion y el comando para renovarlos.

Tendría que hacer todo el proceso en cada una de las maquinas donde vaya a utilizar los certificados para que se realice la renovación en todas las maquinas? o hacerlo en la primera maquina y luego reemplazar todos los certificados de la maquina 1 a las demás? o al renovarlos en la maquina 1 automáticamente todas estas quedan OK , ya que no genera nuevos certificados y solo en la unidad certificadora se actualizan?

¿como es el proceso de renovación de letsencrypt?

Gracias!
 

MauricioSoto

Miembro Activo
Se incorporó
5 Enero 2021
Mensajes
27
Para generar los certificados SI O SI lo tienes que hacer en alguna maquina con algun tipo de conectividad a internet, pues letsencrypt luego te pide validar que eres dueño del host ya sea por HTTPS o Por algun cambio a nivel de tu DNS. Una vez que hagas eso te puedes llevar el certificado a otra maquina pero debes además llevarte la llave privada del servidor donde generaste la solicitud e instalar ambas cosas en el servidor de destino. (Va a ser una paja manual a realizar cada 3 meses multiplicada por la cantidad de servidores que tengas).

Si todas tus maquinas tienen conectividad internet y escuchan en las correspondientes IP asociadas a hosts inscritos en el DNS, y el software de servidor web soporta letsencrypt, lo mas probable es que te convenga configurarlo en todos lados de manera automatizada y dejarlos así por siempre.

- En Windows https://certifytheweb.com/ te hace la pega casi automático

- Si tus servidores son basados en linux, lo mas oficial es usar https://certbot.eff.org/
 
Upvote 0

epic

Pro
Se incorporó
11 Febrero 2007
Mensajes
846
si, lo hice en una maquina con certbot y quedo corriendo ese sitio web con el certificado wildcard y con la auto renovación, pero claro mi duda era si agarro esos cert y los llevo a otras maquinas como funcionaba la renovación en estas nuevas maquina... para evitar tanto leseo quizás convenga comprar un certificado pro 2 años.
 
Upvote 0

MauricioSoto

Miembro Activo
Se incorporó
5 Enero 2021
Mensajes
27
Ahi tienes que ver que te conviene mas.. en el mundo linux es relativamente sencillo replicar el certificado, la llave y probablemente la cadena de certificados entre servidores y luego reiniciar el servicio httpd. Cuando tienes una jungla de cosas linux, docker, clouds, appliances y windows ya no es tan sencillo y hay que sopesar cual es la mejor relación costo beneficio y si vale la pena darse el trabajo cada 3 meses.
 
Upvote 0

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.601
No será más fácil correr un proxy transparente en la máquina que pide el wildcard? Yo lo hago así para ir a servicios en varias máquinas distintas.

La otra opción es que cada máquina genere su propio certificado. Yo lo hago así con mi firewall: ese genera su propio certificado, a pesar de que una máquina más abajo genera una wildcard. Era más fácil hacer eso que estar copiando archivos arriba y abajo.

Saludos.
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
apoyo la moción del proxy reverso con toda violencia

centralizar varios sitios en un proxy reverso ayuda a mantener centralizada la gestión de los certificados, solo te preocupas de un solo servidor (o solo un par) y sólo te preocupas de que la ruta de cada certificado quede disponible para que el proxy la pueda usar, y que en cada renovación, el proxy sea recargado
 
Upvote 0

frosstatx

AMD EX-NV Y LINUX FANBOY
Se incorporó
27 Junio 2008
Mensajes
482
apoyo la moción del proxy reverso con toda violencia

centralizar varios sitios en un proxy reverso ayuda a mantener centralizada la gestión de los certificados, solo te preocupas de un solo servidor (o solo un par) y sólo te preocupas de que la ruta de cada certificado quede disponible para que el proxy la pueda usar, y que en cada renovación, el proxy sea recargado
Pon una maquina con nginx que valide os certificados con certbot y en su configuración redireccionas a la maquina que corresponde...
 
Upvote 0

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.601
apoyo la moción del proxy reverso con toda violencia

centralizar varios sitios en un proxy reverso ayuda a mantener centralizada la gestión de los certificados, solo te preocupas de un solo servidor (o solo un par) y sólo te preocupas de que la ruta de cada certificado quede disponible para que el proxy la pueda usar, y que en cada renovación, el proxy sea recargado
xuxa reverse proxy, no transparent proxy quise decir hahahah (reverso en el sentido de que el request se puede cambiar antes de terminar en su destino)

bueno, se entendió la idea :dalomismo

Saludos.
 
Upvote 0

MauricioSoto

Miembro Activo
Se incorporó
5 Enero 2021
Mensajes
27
Pon una maquina con nginx que valide os certificados con certbot y en su configuración redireccionas a la maquina que corresponde...
Es una bonita opción, igual siempre depende de cuantos sitios físicos tienes, que tantas cosas tienes en la nube y que tan dispuesto estás a tener un único punto de falla. También puede ser una mezcla. Y finalmente ver los costos asociados, horas hombre en aplicar certificados, horas hombre en automatizar la replicación o horas de computo en el caso de tener una maquina dedicada a la aceleración SSL
 
Upvote 0

epic

Pro
Se incorporó
11 Febrero 2007
Mensajes
846
claro , el tema es que habrán como 5 maquinas en distintos docker, lo mas probable es que haya un proxy reverso, pero no se aun como se comuniquen estos servicios... en su momento tuve 2 maquinas (una api y una web) que de igual forma aunque estuvieran bajo un proxy reverso les tuve que configurar en su apache interno los certificados, porque fallaban algunas conexiones SSL entre ellos.

cada maquina puede generar el mismo certificado wildcard?? osea maquina 1, maquina 2 y maquina 3 de manera independiente generar el *.dominio.cl ?? y luego que cada una las renueve cada cierto tiempo?

Si es así podría ser una forma o de lleno comprar un certificado de 2 años.

Gracias.
 
Upvote 0

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.601
claro , el tema es que habrán como 5 maquinas en distintos docker, lo mas probable es que haya un proxy reverso, pero no se aun como se comuniquen estos servicios... en su momento tuve 2 maquinas (una api y una web) que de igual forma aunque estuvieran bajo un proxy reverso les tuve que configurar en su apache interno los certificados, porque fallaban algunas conexiones SSL entre ellos.

cada maquina puede generar el mismo certificado wildcard?? osea maquina 1, maquina 2 y maquina 3 de manera independiente generar el *.dominio.cl ?? y luego que cada una las renueve cada cierto tiempo?

Si es así podría ser una forma o de lleno comprar un certificado de 2 años.

Gracias.
yo tengo ~18 imágenes corriendo en docker por varias máquinas... pero todas pasan por el proxy reverso donde genero el wildcard certificate, tu situación está como hecho para ese caso jajaj

Si las imágenes corren todas en una misma intranet, no necesitas pasar por el proxy. Incluso podrías considerar usar Docker Swarm, el cual funciona muy parecido a docker-compose, pero a nivel de varias máquinas. Si necesitas acceso a la base de datos que está corriendo en otro nodo, simplemente la llamas por el nombre que configuraste. Docker se encargará de elegir la mejor ruta para llegar a su destino.

Cada máquina puede generar de todas formas su propio certificado. No he testeado si funciona con un wildcard, pero lo que hice fue generar el wildcard en una máquina, y en otra específica generé el subdominio específico.

Saludos.
 
Upvote 0

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
No será más fácil correr un proxy transparente en la máquina que pide el wildcard? Yo lo hago así para ir a servicios en varias máquinas distintas.

La otra opción es que cada máquina genere su propio certificado. Yo lo hago así con mi firewall: ese genera su propio certificado, a pesar de que una máquina más abajo genera una wildcard. Era más fácil hacer eso que estar copiando archivos arriba y abajo.

Saludos.
Será proxy reverso?
 
Upvote 0

MauricioSoto

Miembro Activo
Se incorporó
5 Enero 2021
Mensajes
27
Si tienes todos tus servicios en contenedores, una forma sencilla es usar este contenedor al cual es relativamente facil de agregarle SSL y poner ilimitados servidores atrás.

 
Upvote 0

MauricioSoto

Miembro Activo
Se incorporó
5 Enero 2021
Mensajes
27
si, ese mismo uso.
Estonces estas al otro lado.. ese contenedor utiliza 3 archivos por cada wilcard, la key, el certificado crt y otro archivo que contiene la cadena de certificados. Cada vez que lo renueves lo copias a los otros servidores en las ubicaciones y nombres correspondientes y luego haces rebuild de tu contenedor nginx-proxy.
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
para el caso de contenedores, cada contenedor/sitio interno puede usar un certificado autofirmado genérico que ya este incluido en la imagen (o montado para actualizarlo por fuera de la imagen) y asi mantener todo el proceso via conexiones HTTPS (hay sitios que revisan como llega la conexion, y si llega via http, mandan un refresh que puede quedar en loop) , y el proxy reverso (nginx, traefic, etc ) son los únicos que necesitan tener el certificado valido real, ya que son los que reciben las conexiones desde los navegadores de los clientes/usuarios

basicamente el proxy-reverso no necesita verificar el certificado del backend, solo cifra la conexion con el certificado propuesto
 
Upvote 0

epic

Pro
Se incorporó
11 Febrero 2007
Mensajes
846
Gracias por los post... veré que hago con e tema de los certificados ya que aun no toca eso.
 
Última modificación:
Upvote 0
Subir