Pondělí, 16 září, 2024

Michal Zobec | Senior IT Consultant (ZOBEC Consulting)

Blog nejen o IT [Microsoft 365, Azure, Defender for Endpoint, Windows Pro, Windows Enterprise, Windows Server, konzultace, bezpečnost, licencování]

Michal Zobec | Senior IT Consultant (ZOBEC Consulting)
Články 

Let’s Encrypt: Certify The Web jako náhrada za ACMESharp

Michal Zobec žádný komentář , , , , , , , , , , , , , , , ,

V roce 2019 jsem publikoval seriál o používání PowerShell modulu ACMESharp pro generování certifikátů certifikační autority Let’s Encrypt (LE). Doba pokročila a mezitím byl vývoj ukončen. Jaký nástroj jsem vybral místo něj?

Od roku 2018 jsem začal používat PowerShell modul ACMESharp pro generování certifikátů certifikační autority Let’s Encrypt (LE). Doba pokročila a mezitím byl jeho vývoj ukončen. Náhradou je pokračující projekt ACMESharpCore. Nicméně mezitím jsem provedl novou rešerši, jaké produkty jsou k dispozici.

Požadované vlastnosti nástroje

Požadavky jsou téměř stejné, jako dříve:

  • Primárně je požadována podpora platformy Windows pro celý proces žádosti a stažení nových certifikátů.
  • Možnost exportu certifikátů ve formátu PFX pro Windows (PKCS).
  • Možnost ověření žádosti metodou DNS Challenge (TXT záznamy v DNS záznamech u každé z domén).
  • Nepoužívat automatizovaný proces instalace certifikátů do systému.
  • Nevyžadovat instalovaný IIS.
  • Podpora generování certifikátů s více DNS záznamy.
  • Vyhnout se požadavku na otevřený port HTTP (TCP 80).
  • Podpora API CloudFlare (volitelně).
  • Podpora automatizace celého procesu s možností některé kroky přeskočit dle potřeby.

 

Rozdíl oproti dřívějšku je možnost používat CloudFlare API, protože v některých scénářích jej já a moji zákazníci využíváme.

 

 

Proč mi vyhovuje Certify The Web

Z rešerše mi vyšel jako nejkomplexnější nástroj jen Certify The Web, tedy kromě samotného nástupce ACMESharp – ACMESharpCore. V podstatě umí vše co jsem chtěl. Umí toho dokonce víc, podporuje různé certifikační autority, včetně komerčních. Má jedinou vadu a tou je nutnost si jej koupit, pokud jej chci využít v komerčním prostředí. Nicméně po porovnání se všemi ostatními nástroji toho umí opravdu hodně a cena 59 USD za rok je celkem přijatelná.

Co mne potěšilo asi nejvíc je právě podpora CloudFlare API. Zatím to před tím mi celý proces s ruční změnou DNS záznamů pro ověření trval cca 5-10 minut, nyní se celý proces s ověřováním a čekáním na změny vejde do cca 3 minut.

I když to není pro mne podstatné, Certify The Web má velmi pěkné a intuitivní uživatelské rozhraní takže zatím jsem (plnou) automatizaci moc nezkoušel.

 

Další nástroje

Mezi dalšími nástroji, byl kandidátem v té době Let’s Encrypt WinSimple (dnes se jmenuje Win-ACME). Bohužel neuměl DNS Challenge a vyžadoval IIS. Popisuji stav projektu v 2020/Q4 až 2021/Q2.

Dnes jsem na něj koukal znova a zdá se, že umí to samé co Certify The Web Certify Certificate Manager a navíc zadarmo. Nicméně než jej budu znova hodnotit a zvažovat, myslím, že to ještě pár let potrvá.

 

Odkazy

 

Michal Zobec

Michal Zobec Senior IT Consultant, Project Manager ZOBEC Consulting

Nechte vzkaz