ProHoster > Blog > fitantanan-draharaha > LetsEncrypt dia mikasa ny hanafoana ny mari-pankasitrahany noho ny tsy fahampian'ny rindrambaiko

LetsEncrypt dia mikasa ny hanafoana ny mari-pankasitrahany noho ny tsy fahampian'ny rindrambaiko

LetsEncrypt dia mikasa ny hanafoana ny mari-pankasitrahany noho ny tsy fahampian'ny rindrambaiko
LetsEncrypt, izay manolotra mari-pankasitrahana SSL maimaim-poana ho an'ny fanafenana, dia voatery manafoana ny fanamarinana sasany.

Ny olana dia mifandray amin'ny fahadisoana rindrambaiko ao amin'ny rindrambaiko fitantanana Boulder nampiasaina hanamboarana ny CA. Amin'ny ankapobeny, ny fanamarinana DNS amin'ny firaketana CAA dia mitranga miaraka amin'ny fanamafisana ny fananan'ny sehatra, ary ny ankamaroan'ny mpanjifa dia mahazo taratasy fanamarinana avy hatrany aorian'ny fanamarinana, fa ny mpamorona rindrambaiko dia nanao izany mba ho heverina ho lany ao anatin'ny 30 andro manaraka ny valin'ny fanamarinana. . Amin'ny toe-javatra sasany, azo atao ny manamarina fanindroany ny firaketana alohan'ny hamoahana ny taratasy fanamarinana, indrindra fa ny CAA dia mila hamarinina indray ao anatin'ny 8 ora alohan'ny famoahana, ka izay sehatra rehetra voamarina alohan'ity vanim-potoana ity dia tsy maintsy hamarinina indray.

Inona no lesoka? Raha toa ka misy sehatra N mitaky fanamarinana CAA miverimberina ny fangatahana fanamarinana, dia mifidy ny iray amin'izy ireo i Boulder ary manamarina izany in-in'ny. Vokatr'izany dia azo natao ny namoaka taratasy fanamarinana na dia nametraka firaketana CAA izay mandrara ny famoahana taratasy fanamarinana LetsEncrypt ianao taty aoriana (hatramin'ny X+30 andro).

Mba hanamarinana ny mari-pankasitrahana dia nanomana ny orinasa fitaovana an-tseraseraizay hampiseho tatitra amin'ny antsipiriany.

Ireo mpampiasa efa mandroso dia afaka manao ny zava-drehetra amin'ny alΓ lan'ireto baiko manaraka ireto:

# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° https
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ ΠΎΡ‚ @simpleadmin 
echo | openssl s_client -connect example.com:443 |& openssl x509 -noout -serial
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» SMTP
openssl s_client -connect example.com:25 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» SMTP
openssl s_client -connect example.com:587 -starttls smtp -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» IMAP
openssl s_client -connect example.com:143 -starttls imap -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ° ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ» IMAP
openssl s_client -connect example.com:993 -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial Number | tr -d :
# Π² ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΠ΅ Π°Π½Π°Π»ΠΎΠ³ΠΈΡ‡Π½ΠΎ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΡΡŽΡ‚ΡΡ ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ сСрвисы

Manaraka dia mila mijery eto ny nomeraon-telefaoninao, ary raha ao amin'ny lisitra izany, dia asaina manavao ny taratasy fanamarinana.

Mba hanavaozana ny mari-pankasitrahana dia azonao atao ny mampiasa certbot:

certbot renew --force-renewal

Hita ny olana tamin'ny 29 Febroary 2020; mba hamahana ny olana dia naato ny famoahana mari-pankasitrahana nanomboka tamin'ny 3:10 UTC hatramin'ny 5:22 UTC. Araka ny fanadihadiana anatiny dia ny 25 jolay 2019 no nisy ny fahadisoana, ary ny orinasa dia hanome tatitra amin'ny antsipiriany kokoa.

UPD: ny serivisy fanamarinana an-tserasera dia mety tsy miasa amin'ny adiresy IP Rosiana.

Source: www.habr.com

Add a comment