IAM appliance - iam-letsencrypt-support

RPM balíček s integrací IETF Certbot do appliance.

Build probíhá standardním způsobem v bcv-rpmbuild kontejneru.

Služba

Balíček neobsahuje žádnou kontejnerizovanou službu.

Adresáře na disku appliance

Balíček používá pouze adresáře, které už vyrobily jiné balíčky.

Konfigurační soubory

  • /etc/sysconfig/iam-letsencrypt - zapínání a vypínání deploy hooků pro certifikáty

Ovládání

  • Vydání/změna/zrušení certifikátů se provádí standardními prostředky certbot. Takže nějak takto:

    • Vydání: certbot certonly --webroot --webroot-path /data/volumes/web-proxy/letsencrypt/ -d le1.bcvsolutions.eu -d le2.bcvsolutions.eu

    • Změna seznamu domén (parametr --cert-name je nezbytný!): certbot certonly --webroot --webroot-path /data/volumes/web-proxy/letsencrypt/ --cert-name le1.bcvsolutions.eu -d le1.bcvsolutions.eu -d le3.bcvsolutions.eu

  • Poznámky:

    • Po změně certifikátů (pokud nám deploy failnul) je nejjednodušší vyvolat jejich deploy ručně (je nutné si opsat RENEWED_LINEAGE z výstupu certbotu).

      [root@localhost ~]# export RENEWED_LINEAGE=/etc/letsencrypt/live/le1.bcvsolutions.eu
[root@localhost ~]# . /etc/sysconfig/iam-letsencrypt
[root@localhost ~]# /etc/letsencrypt/renewal-hooks/deploy/001_web-proxy-deploy.sh

      • Případně lze nastavit --force-renewal v /etc/sysconfig/certbot a spustit jednoduše příkaz systemctl start iam-letsencrypt-renew.service. Ale tohle není použitelné pokud máme hodně certifikátů, protože můžeme narazit na limity LE API. Limit je 5 duplicitních certifikátů za týden nebo podobně, takže pozor!

Závislosti

  • Je potřeba mít iam-app-web-proxy alespoň ve verzi 0.7 kvůli adresářům, které vidí nginx webserver.

Podivnosti

  • Podpora LE v appliance je dělaná na jeden jediný certifikát. Certifikát může mít více alternative names.