On Sat, 02 Jan 2016 13:30:25 +0200
Oleksandr Gavenko <gaven...@gmail.com> wrote:

> Хочу SSL/TLS сертификат на домашнюю страничку.
шой
> зеленой областью в строке URL.
> 
> Что не понравилось:
> 
>  * сделано криво, лишь бы живо
>  * апстрим какой то заносчивый
>  * для подстверждения собственности домена - требуют на сервере
> временно запустить слушателя на порту 80 или 443 - прерывая свои

Ну так они что проверяют? Что к ним обратился с заявкой на сертификат
именно тот человек, который контролирует веб-сервер на данном доменном
имени. Поэтому, естественно что они хотят именно на well-known-порту.

> сервисы, подтверждение - не плохо, но че бы не на другом порту?
>  * для получения сертификата нужено запускать от root их поделие (для
> записи в системные каталоги и забиндить порт ниже 2000)

Опять же, довольно естественно что они хотят убедиться в том, что тот,
кто хочет получить сертификат на данный домен, владеет правами рута на
этом домене. Ведь они фактически расписываются в том, что данный домен
принадлежит владельцу этого секретного ключа.

> Что бы Вы порекомендовали?

Изучить вопрос повнимательнее. Вообще говоря, есть пара десятков
альтернативных клиентов для протокола ACME, который использует
letsencrypt. Некоторые из этих клиентов специально рассчитаны на то,
чтобы их прочитали, прежде чем запускать.

Некоторые - совершенно не обязательно вообще должны запускаться на той
же машине, что и веб-сервер, а должны только иметь возможность положить
файлик в папку с определенным именем в корне этого веб-сервера.



-- 
                                   Victor Wagner <vi...@wagner.pp.ru>

Ответить