https://www.opennet.me/openforum/vsluhforumID1/97560.html Здравствуйте!<br><br>Возникла необходимость добавить верифицируемый (публичного доверенного ЦС) SSL сертификат на postfix.<br>Решил без особый вложений использовать LetsEncrypt. Все что нужно - так это подтвердить владение зоной. Обычно это делается через http uri.<br>И все бы ничего, но у меня нет на хосте с postfix-ом web-сервера, и ставить его туда не собираюсь.<br>Благо есть альтернативный способ подтвердить владение через DNS, но тут снова проблема, DNS тоже не на хосте с postfix-ом.<br>Поначалу начал заморачиваться с запуском скриптов через ssh, но потом подумал, а наверное есть способ а-ля rndc addzone?! Но не нашел.<br>Плохо искал или таки нет?<br><br>nsupdate не подходит, поскольку зона не динамическая. <br><br>Есть ли другие варианты, или остается только ssh?<br> https://www.opennet.me/openforum/vsluhforumID1/97560.html#8 Wed, 01 Apr 2020 21:09:44 GMT &gt; IMXO, вообще ей нечего делать на хосте с BIND-ом. Я имел в <br>&gt; виду, не давать ей прав модифицировать зону example.com, а только _acme-challenge.example.com.<br><br>И я это имел в виду. Делать только то, под что заточен скрипт в каталоге ~/bin на стороне BIND-а, запускаемый acmetool-ом на стороне postfix-а, при обработке соответствующего хука - challenge-dns-start или challenge-dns-stop.<br>И поскольку шел и судо на стороне BIND-а ограничены, то ничего более под этой учеткой, авторизуемой по ключу, сделать не получится.<br><br>&gt; Змечательно. Имейте в виду: <br>&gt; - Если зона _acme-challenge.example.com живёт хосте с Postfix-ом, то её будет технически <br>&gt; проще курочить из обновлялки, но будут сложности если кому-то кроме Postfix-а <br>&gt; потребуются сертификаты Let's Encrypt.<br>&gt; - Если зона _acme-challenge.example.com живёт хосте с BIND-ом, то придётся повозиться с <br>&gt; её динамическим обновлением с Postfix-а, по nsupdate или обёрткой вокруг SSH, <br>&gt; но решение будет масштабируемо на большее количесво сервисов с Let's Encryp https://www.opennet.me/openforum/vsluhforumID1/97560.html#7 Wed, 01 Apr 2020 18:11:07 GMT &gt;&gt; Вам же важно, чтобы обновлялка сертификатов не могла лазать куда не надо?<br>&gt; Да, безусловно. Обновлялка не должна никуда лазить. Для этого на хосте с <br>&gt; BIND-ом ограниченный шел, пути, скрипты, судо и прочие ограничения, что не <br>&gt; очень удобно.<br><br>IMXO, вообще ей нечего делать на хосте с BIND-ом. Я имел в виду, не давать ей прав модифицировать зону example.com, а только _acme-challenge.example.com.<br><br><br>&gt;&gt; Можно оставить в покое вашу зону example.com, но завести на том-же хосте <br>&gt;&gt; отдельную зону _acme-challenge.example.com и её сделать динамической.<br>&gt;&gt; Или пусть зона _acme-challenge.example.com будет slave, чтобы её обновлял master который <br>&gt;&gt; живёт там-же где и Postfix, а с локальным непубличным Bind-ом вы <br>&gt;&gt; без SSH справитесь.<br>&gt; Про динамическую зону тоже думал, но как-то в другом ключе. Благодарю, Ваш <br>&gt; вариант вполне себе рабочий. Пожалуй на нем остановлюсь.<br><br>Змечательно. Имейте в виду:<br>- Если зона _acme-challenge.example.com живёт хосте с Postfix-ом, то её будет технически проще курочить https://www.opennet.me/openforum/vsluhforumID1/97560.html#6 Wed, 01 Apr 2020 10:50:20 GMT &gt;&gt; И все бы ничего, но у меня нет на хосте с postfix-ом <br>&gt;&gt; web-сервера, и ставить его туда не собираюсь.<br>&gt; Вам шашечки или ехать?<br>&gt; Ну стойте, ждите шашечек...<br>&gt; Я поражаюсь, насколько люди стремятся создавать себе проблемы на ровном месте и <br>&gt; хотят чувствовать себя героями, решая их.<br>&gt; Не хочешь ставить веб-сервер - купи платный сертификат, это дешевле чем потраченное <br>&gt; время.<br>&gt; Но поставить веб-сервер - еще дешевле.<br><br>Что Вы так возбудились!<br>Я найду рабочее решение удовлетворяющее моим требованиям, а не по принципу "как нибудь".<br> https://www.opennet.me/openforum/vsluhforumID1/97560.html#5 Wed, 01 Apr 2020 10:46:08 GMT &gt; В принципе, web-сервером может быть всё что угодно, хоть nc. Моя персональная <br>&gt; симпатия уходит к xinetd. Смотрите примеры https://unix.stackexchange.com/questions/32182/simple-command-line-http-server <br><br>Дело не в том что сложно ставить, или трудно с выбором что ставить. Дело в том, что на хосте политикой не предусмотрено открытие других портов. Тем более что в этом нет никакой другой необходимости, кроме той что так проще и так делают все.<br><br>&gt; Можно оставить в покое вашу зону example.com, но завести на том-же хосте <br>&gt; отдельную зону _acme-challenge.example.com и её сделать динамической.<br>&gt; Или пусть зона _acme-challenge.example.com будет slave, чтобы её обновлял master который <br>&gt; живёт там-же где и Postfix, а с локальным непубличным Bind-ом вы <br>&gt; без SSH справитесь.<br>&gt; Вам же важно, чтобы обновлялка сертификатов не могла лазать куда не надо? <br><br>Да, безусловно. Обновлялка не должна никуда лазить. Для этого на хосте с BIND-ом ограниченный шел, пути, скрипты, судо и прочие ограничения, что не очень удо https://www.opennet.me/openforum/vsluhforumID1/97560.html#4 Tue, 31 Mar 2020 14:45:14 GMT &gt;&gt; И все бы ничего, но у меня нет на хосте с postfix-ом <br>&gt;&gt; web-сервера, и ставить его туда не собираюсь.<br>&gt; Вам шашечки или ехать?<br>&gt; Ну стойте, ждите шашечек...<br>&gt; Я поражаюсь, насколько люди стремятся создавать себе проблемы на ровном месте и <br>&gt; хотят чувствовать себя героями, решая их.<br>&gt; Не хочешь ставить веб-сервер - купи платный сертификат, это дешевле чем потраченное <br>&gt; время.<br>&gt; Но поставить веб-сервер - еще дешевле.<br><br>ты чё раскудахтался?<br>человек абсолютно прав в своих желаниях,<br>я тебе больше скажу для wildcard сертификатов (*.domain.tld) единственная форма верификации - через днс<br><br>и да существуют методы позволяющие это дело автоматизировать на голом bind,<br>описывать я их не буду,в гугле есть стопка примеров, ОП - ленивая жопа или не умеет гуглить<br> https://www.opennet.me/openforum/vsluhforumID1/97560.html#3 Tue, 31 Mar 2020 05:29:05 GMT &gt; И все бы ничего, но у меня нет на хосте с postfix-ом <br>&gt; web-сервера, и ставить его туда не собираюсь.<br><br>Вам шашечки или ехать?<br><br>Ну стойте, ждите шашечек...<br><br>Я поражаюсь, насколько люди стремятся создавать себе проблемы на ровном месте и хотят чувствовать себя героями, решая их.<br><br>Не хочешь ставить веб-сервер - купи платный сертификат, это дешевле чем потраченное время.<br>Но поставить веб-сервер - еще дешевле.<br> https://www.opennet.me/openforum/vsluhforumID1/97560.html#2 Tue, 31 Mar 2020 03:45:47 GMT &gt;[оверквотинг удален]<br>&gt; подтвердить владение зоной. Обычно это делается через http uri.<br>&gt; И все бы ничего, но у меня нет на хосте с postfix-ом <br>&gt; web-сервера, и ставить его туда не собираюсь.<br>&gt; Благо есть альтернативный способ подтвердить владение через DNS, но тут снова проблема, <br>&gt; DNS тоже не на хосте с postfix-ом.<br>&gt; Поначалу начал заморачиваться с запуском скриптов через ssh, но потом подумал, а <br>&gt; наверное есть способ а-ля rndc addzone?! Но не нашел.<br>&gt; Плохо искал или таки нет?<br>&gt; nsupdate не подходит, поскольку зона не динамическая.<br>&gt; Есть ли другие варианты, или остается только ssh?<br><br>У letsencrypt свой сервер, лишь бы порт 80 (возможно и 443) не заняты были во время получения сертификата....<br> https://www.opennet.me/openforum/vsluhforumID1/97560.html#1 Mon, 30 Mar 2020 20:30:27 GMT &gt; Решил без особый вложений использовать LetsEncrypt. Все что нужно - так это <br>&gt; подтвердить владение зоной. Обычно это делается через http uri.<br>&gt; И все бы ничего, но у меня нет на хосте с postfix-ом <br>&gt; web-сервера, и ставить его туда не собираюсь.<br><br>В принципе, web-сервером может быть всё что угодно, хоть nc. Моя персональная симпатия уходит к xinetd. Смотрите примеры https://unix.stackexchange.com/questions/32182/simple-command-line-http-server<br><br>&gt; Благо есть альтернативный способ подтвердить владение через DNS, но тут снова проблема, <br>&gt; DNS тоже не на хосте с postfix-ом.<br>&gt; Поначалу начал заморачиваться с запуском скриптов через ssh, но потом подумал, а <br>&gt; наверное есть способ а-ля rndc addzone?! Но не нашел.<br>&gt; Плохо искал или таки нет?<br>&gt; nsupdate не подходит, поскольку зона не динамическая.<br><br>Можно оставить в покое вашу зону example.com, но завести на том-же хосте отдельную зону _acme-challenge.example.com и её сделать динамической.<br>Или пусть зона _acme-challenge.example.com будет slave, чтобы её