Если не следить за новостями, то новости возникают неожиданно. Например, для меня новостью оказалось, что антивирус ClamAV принадлежит Cisco. А то, что они перестали весной давать обновления антивирусных баз для России — оказалось неприятным сюрпризом. vim /usr/local/etc/freshclam.conf DatabaseMirror packages.microsoft.com/clamav Решает проблему. Но Микрософт не даёт инкрементальных апдейтов. Базу каждый раз придётся скачивать целиком, а в логе будет ругань, что не может найти diff. Понизил частоту до 1 раз в сутки. Ну и о любимом: бесплатные сертификаты от Let`s Encrypt. Внезапно, протокол acme дошёл до версии 3.0 и халявные сертификаты, кроме LE начал выдавать ещё ZeroSSL. Который и стал с 1 августа сего года дефолтным CA для проекта acme.sh. Там тоже 90 дней. Но надо завести учётку, либо по емейлу, либо полноценно и будет возможность управлять сертификатами, через их панельку. Но мне не надо. У меня 1 сертификат на всех. Поскольку у меня продление этих сертификатов автоматизировано, как и распихивание их по серверам, а список доменов давно не менялся, мне было фиолетово. Но тут, как снег зимой, случилось страшное и пришлось разбираться по новой. Получение сертификата сделано через алиас и динамически обновляемую через nsupdate зону. Для начала надо зафиксировать пациента на серверах LE. acme.sh —set-default-ca —server letsencrypt Потом выставить переменные окружения. Поскольку скрипт сложный, то он вынесен в отдельного пользователя, с шеллом SH и из под него и работает. Все команды даются из su acme export NSUPDATE_SERVER="127.0.0.1" export NSUPDATE_KEY="/usr/local/etc/namedb/keys/update.key" Ну и выпускаем сертификат перечислив все домены, в том числе и со звёздочкой. /usr/local/sbin/acme.sh —issue —server letsencrypt \ --challenge-alias ad-easy.ru \ --dns dns_nsupdate \ -d net-easy.ru \ -d *.net-easy.ru \ -d neteasy.ru \ -d *.neteasy.ru \ {...} --home "/var/db/acme/.acme.sh" -f Домен, с вайлдкардом (*), должен идти отдельно от домена 2го уровня, чтоб все домены 3го тоже можно было использовать через https, не выпуская дополнительных сертификатов. Далее сертификат прекрасно обновляется через крон, обычным способом из под того же пользователя. crontab -e #minute hour mday month wday command 10 06 * * * /usr/local/sbin/acme.sh —cron —home "/var/db/acme/.acme.sh" Полученный сертификат прекрасно подходит и для почтовых серверов. Кормите им почтовик и клиенты на мобилках перестают задавать глупые вопросы, про доверие самоподписаному сертификату.

Теги других блогов: безопасность сертификаты IT