「Dehydrated」:修訂間差異

出自Gea-Suan Lin's Wiki
跳至導覽 跳至搜尋
本頁面具有訪問限制。如果您看見此訊息,這代表您沒有訪問本頁面的權限。
行 89: 行 89:


=== dns-01 ===
=== dns-01 ===
<code>dns-01</code>會需要使用<code>TXT</code> record認證。這邊會使用[[lexicon]](不適合用安裝pyenv,因為通常使用root權限跑dehydrated),這需要另外安裝。
{{See also|lexicon}}
{{See also|lexicon}}
<code>dns-01</code>會需要使用<code>TXT</code> record認證。這邊會使用[[lexicon]](不適合用安裝pyenv,因為通常使用root權限跑dehydrated)。


 另 外lexicon 的<code>examples/dehydrated.default.sh</code> 是拿來 將dehydrated的hook 介接 給lexicon用,所以需要下載這個檔案,複製到<code>/usr/sbin/lexicon-dehydrated.default.sh</code>以便後續更新:
 另 外dehydrated需要lexicon 的<code>examples/dehydrated.default.sh</code> 將dehydrated的hook 給lexicon 使 ,所以需要下載這個檔案,複製到<code>/usr/sbin/lexicon-dehydrated.default.sh</code>以便後續更新:


<syntaxhighlight lang="shell-session">
<syntaxhighlight lang="shell-session">
行 98: 行 99:
$ git clone https://github.com/AnalogJ/lexicon.git
$ git clone https://github.com/AnalogJ/lexicon.git
$ sudo cp lexicon/examples/dehydrated.default.sh /usr/sbin/lexicon-dehydrated.default.sh
$ sudo cp lexicon/examples/dehydrated.default.sh /usr/sbin/lexicon-dehydrated.default.sh
</syntaxhighlight>
或是直接用[[GitHub]]提供的連結下載:
<syntaxhighlight lang="shell-session">
$ cd /tmp
$ curl -LO https://raw.githubusercontent.com/AnalogJ/lexicon/master/examples/dehydrated.default.sh
$ sudo cp dehydrated.default.sh /usr/sbin/lexicon-dehydrated.default.sh
</syntaxhighlight>
</syntaxhighlight>



於 2018年4月24日 (二) 06:18 的修訂

dehydrated
原作者 Lukas Schauer
穩定版本
預覽版本
v0.6.1
(2018年3月14日,​6年前​(2018-03-14
開發狀態 運行中
程式語言 Shell Script
許可協議 MIT license
網站 dehydrated.de
原始碼庫 github.com/lukas2511/dehydrated

dehydrated是一套支援ACME協定的軟體套件(目前僅由Let's Encrypt提供服務)。

特色

相較於官方推廣的Certbot使用Python撰寫,dehydrated僅使用Shell Script與OpenSSLcurl的指令就可以執行,這些指令在大多數系統中都已經提供。

安裝

Ubuntu 17.10之後的版本(包含即將出版的18.04)可以直接安裝dehydrated[1],而在比較舊的版本可以透過我包裝的PPA安裝:

$ sudo add-apt-repository ppa:gslin/dehydrated
$ sudo apt update
$ sudo apt install dehydrated

另外可以直接去官方網站上下載檔案,僅需下載dehydrated檔案。我建議把這個檔案放到/usr/sbin/下。

基本設定

dehydrated在偵測到/etc/dehydrated/config/usr/local/etc/dehydrated/config時(兩個都有時前者優先),會將/etc/dehydrated或是/usr/local/etc當作設定目錄,所以我們需要產生/etc/dehydrated/config,目前裡面不需要有東西:

$ sudo mkdir /etc/dehydrated
$ sudo touch /etc/dehydrated/config

進階設定

這邊的設定都是選擇性設定,進階使用者可以修改dehydrated預設值,對安全性與效能的參數進行調整。

config內可以設定開啟憑證內標示一定要開OCSP Stapling:

OCSP_MUST_STAPLE=yes

config內可以設定KEYSIZE,預設是4096,可以改成2048:

KEYSIZE=2048

域名設定

Domain

Domain的認證可以透過http-01或是dns-01的協定,這邊是用http-01的方式認證。

domains.txt內一行是一張憑證,有幾種方式可以設定。

一張憑證一個域名

一行放一個域名,將需要申請的網域名稱放到domains.txt內:

$ cd /etc/dehydrated
$ echo 'blog.gslin.org' | sudo tee -a domains.txt
$ echo 'wiki.gslin.org' | sudo tee -a domains.txt

一張憑證多個域名

將想要放在同一張憑證的域名放在同一行,一樣是domains.txt內:

$ cd /etc/dehydrated
$ echo 'blog.gslin.org wiki.gslin.org' | sudo tee -a domains.txt

Wildcard

Wildcard的認證只能透過dns-01,而且一定要有一個主域名(沒有*)的:

$ cd /etc/dehydrated
$ echo 'gslin.org *.gslin.org' | sudo tee -a domains.txt

認證設定

http-01

dehydrated預設會用/var/www/dehydrated作為認證目錄,需要將網頁的/.well-known/acme-challenge/指到這邊。以nginx的設定會像是這樣:

server {
    # ...

    # map /var/www/dehydrated/
    location /.well-known/acme-challenge/ {
        alias /var/www/dehydrated/;
    }
}

dns-01

dns-01會需要使用TXT record認證。這邊會使用lexicon(不適合用安裝pyenv,因為通常使用root權限跑dehydrated),這需要另外安裝。

另外dehydrated需要lexicon的examples/dehydrated.default.sh(將dehydrated的hook命令轉給lexicon使用),所以需要下載這個檔案,複製到/usr/sbin/lexicon-dehydrated.default.sh以便後續更新:

$ cd /tmp
$ git clone https://github.com/AnalogJ/lexicon.git
$ sudo cp lexicon/examples/dehydrated.default.sh /usr/sbin/lexicon-dehydrated.default.sh

或是直接用GitHub提供的連結下載:

$ cd /tmp
$ curl -LO https://raw.githubusercontent.com/AnalogJ/lexicon/master/examples/dehydrated.default.sh
$ sudo cp dehydrated.default.sh /usr/sbin/lexicon-dehydrated.default.sh

執行

第一次需要同意條款:

$ sudo dehydrated --register --accept-terms

之後就可以用-c自動更新:

$ sudo dehydrated -c

如果是使用dns-01(像是Wildcard),需要在環境變數裡提供對應的API token:

$ sudo PROVIDER=digitalocean LEXICON_DIGITALOCEAN_TOKEN=x dehydrated -c -k /usr/sbin/lexicon-dehydrated.default.sh --challenge dns-01

另外因為lexicon在設定DNS的值之後,預設會停30秒才會跑下一步,會比較慢,請耐心等待。

自動更新

上面提到更新的指令可以放到/etc/cron.weekly內執行,並且透過傳回值可以判斷是否有更新,然後重跑nginx或是Postfix(以及其他有用到的服務)。

像是:

#!/bin/bash
PATH=/usr/sbin:/usr/bin:/bin:"${PATH}"
sleep $(expr $(printf "\%d" "0x$(hostname | md5sum | cut -c 1-8)") \% 86400); dehydrated -c && ( service nginx reload; service postfix reload )

或是:

#!/bin/bash
PATH=/usr/sbin:/usr/bin:/bin:"${PATH}"
sleep $(expr $(printf "\%d" "0x$(hostname | md5sum | cut -c 1-8)") \% 86400); PROVIDER=digitalocean LEXICON_DIGITALOCEAN_TOKEN=x dehydrated -c -k /usr/sbin/lexicon-dehydrated.default.sh --challenge dns-01 && ( service nginx reload; service postfix reload )

其中:

  • sleep片段是為了同一個時間連到Let's Encrypt的伺服器造成類似DDoS的效果。
  • sleep後面不使用隨機變數而是使用hostnamemd5sum計算是為了隨機打散,但又要避免很湊巧一堆機器同時打Let's Encrypt的伺服器。

其他

這邊主要是我的個人想法,放在最後避免干擾只是想要學設定方法的讀者。

dehydrated的相依性較少,僅需BashOpenSSLcurl,這在蠻多Linux的作業系統是內建,這對於自動化環境帶來的負擔會比較少(這邊指的是Puppet或是Chef這類工具)。

目前比較大的問題在於申請Wildcard certificate時,因為需要透過dns-01申請,而這常常會用到lexicon(因為其他使用Shell Script的DNS操作軟體支援度比較低)。而lexicon使用Python撰寫,這違背了使用dehydrated就是希望輕量的本意。

參考資料

外部連結